En avril dernier, une note de la Direction Générale des Collectivités Locales du Ministère de l’Intérieur a précisé que le recours par une collectivité locale à un “cloud non souverain, qui, par définition, ne permet pas de garantir que l’ensemble des données sont stockées et traitées sur le territoire français, est ... illégal” pour lesdites collectivités.”
Nous savons que dans le même temps, l’ANSII, Agence nationale de la sécurité des systèmes d’information, travaille à un référentiel destiné aux fournisseurs de services cloud et qui débouchera sur un label “Secure Cloud”. Pour information, l’appel public à commentaire sur la première version du référentiel était clos le 4 novembre...2014.
En tant que dirigeant d’un hébergeur/infogéreur français proposant des services cloud hébergés sur le territoire national, je devrais me féliciter de ces mesures qui devraient avantager des entreprises comme la mienne.
Et pourtant je ne peux m'empêcher de penser qu’il s’agit de fausses bonnes nouvelles pour les prestataires de services comme pour les collectivités locales et je vais m’en expliquer.
Les besoins d’hébergement des collectivités
De quoi parle-t-on ? Que font héberger les collectivités locales ? Principalement :
· des portails et sites web à destination des usagers et des acteurs économiques,
· des applications bureautiques, de messagerie, ou de stockage collaboratif de fichiers en mode SaaS,
· des applications métier fournies par leur éditeur en mode SaaS ou hébergé,
Les deux premiers usages sont aujourd’hui largement majoritaires.
L’hébergement de portail web va dans le sens du guichet numérique qui tend à proposer à l’usager que nous sommes de se renseigner et de réaliser une partie de ses démarches en ligne, à tout moment, sans avoir à se déplacer. C’est une évolution engagée depuis plusieurs années et qui va se poursuivre et s’élargir.
Les usages de bureautique, messagerie et stockage collaboratif sont plus récents, ou devrait-on dire connaissent une évolution majeure depuis quelques années du fait de la mobilité, de l’usage croissant de la messagerie et de l’informatisation de fonctions qui l’étaient peu jusque-là. Concrètement, les petites collectivités avaient informatisé leur collaborateurs sédentaires et utilisaient des solutions de messagerie basiques (pop-imap) sans fonctions collaboratives (agendas partagés, vidéo conférence), et avec une mobilité réduite. Il leur faut aujourd’hui généraliser l’informatique, la mobilité et leur travail collaboratif à une population beaucoup plus large, et souvent non-sédentaire, sans exploser leur budget.
Les applications métiers des collectivités publiques sont de plus en plus proposées en mode SaaS ou hébergées par l’éditeur. Certes, nombre d’entre elles sont des applications matures, avec des technologies relativement anciennes qui se prêteront mal à un hébergement compétitif et performant car trop coûteuses en licences ou pas assez performantes. Mais il ne faut pas se faire d’illusion, les nouvelles applications seront développées en technologies toujours plus orientées web et nativement prêtes au mode SaaS. Ce n’est qu’une question de temps.
Beaucoup de ces applications seront spécifiquement nationales, par exemple la paye mais pas toutes. Une cartographie peut très bien s’appuyer sur un produit comme Google Maps.
On voit donc que c’est bien l’ensemble du périmètre informatique qui est concerné par l’enjeu de l’hébergement en mode cloud d’applications. La puissance publique a donc raison de s’en préoccuper et d’anticiper, la question est comment ?
Enfermer dans un cadre strictement national un service innovant comme le cloud est un contre-sens.
Il n’est pas besoin d’être un expert informatique pour observer que l’innovation technologique et les nouveaux usages ne connaissent pas de frontières, et que seuls parviennent à émerger dans ces secteur des acteurs multinationaux. Et ces acteurs, pour apporter des services les plus compétitifs possibles cherchent à concentrer leurs ressources techniques, dont l’hébergement est un composant clé.
Pour prendre un exemple bien français, Blablacar est engagé dans une course à l’internationalisation pour s’imposer comme un acteur de référence dans l’auto-partage. Peut-on imaginer une seconde qu’il va déployer son application en datacenter dans chacun des pays qu’il cherche à conquérir ?
Le monde du cloud et des services en ligne repose sur des volumes considérables, un marketing de masse et des coûts unitaires les plus faibles possibles, et ceci n’est possible qu’à une échelle transnationale.
C’est vrai pour les géants étrangers mais aussi pour les start-up françaises et européennes dont nous pouvons espérer qu’elles connaîtront un développement européen voire mondial.
Il en résulte aussi une concentration des services les plus courants: Microsoft domine dans une proportion écrasante le monde de la bureautique en Europe, avec une part de marché de peut-être 80% ou davantage en France. Microsoft pousse la migration de sa solution Office vers le cloud avec Office 365 qui n’est pas actuellement hébergée en France mais l’est dans la CEE. Cela veut-il dire que les collectivités françaises vont devoir se couper du monde Microsoft dans la bureautique ? Peut-on envisager le coût de migration et de formation que cela va entraîner ?
Il existe bien une alternative réelle, toujours en Saas, Google Apps, mais elle n’est pas plus locale en termes d’hébergement. Que restera-t-il comme option aux collectivités ? Espère-t-on faire émerger un champion national ou même européen ?
Dans le domaine du stockage en ligne, les positions sont peut-être moins établies, mais peut-on sérieusement envisager de priver les collectivités de l’accès aux services innovants de demain sous prétexte qu’ils en sont pas hébergés en France ?
Enfin, les hackeurs et pirates du web ne connaissent pas de frontières et ils évoluent extrêmement vite. Le risque de s’isoler dans des normes nationales est de se couper du reste du monde, de ne pas évoluer assez rapidement et de se retrouver encore plus exposés. Nos prestataires hébergeurs et infogéreurs français ont eux aussi besoin de rester en prise directe avec ce qui se passe ailleurs. Les isoler n’aboutirait qu’à les fragiliser.
A l’heure où les collectivités sont soumises à une pression budgétaire très forte, il est essentiel qu’elles puissent conserver un accès large aux solutions innovantes qui leur permettront d’être plus efficaces dans la réalisation de leurs missions.
Et cela implique de ne pas fermer les frontières au niveau national. Un protectionnisme technologique serait un véritable suicide dans le monde d’aujourd’hui. Il faut donc composer avec ce caractère transnational de l’innovation.
Le protectionnisme technologique est une illusion coûteuse. L’innovation ne se décrète pas et un environnement protégé ne suffit pas à lui garantir de se développer. Au-delà, la généralisation de cette pratique au niveau européen serait même contre-productif car il pourrait nuire à l’émergence de champions européens qui devraient se déployer dans chaque pays quand leurs concurrents américains bénéficient d’un accès direct à un marché domestique gigantesque et d’un seul tenant.
Si un cadre peut être posé, il ne peut l’être qu’à l’échelon européen, et ceci n’est pas incompatible avec des exigences nationales.
Pour une démarche simple et pragmatique.
Il n’en reste pas moins qu’il est logique que les collectivités publiques soient vigilantes sur la protection de leurs données. Cette protection doit se situer à un double niveau: technique et juridique.
Sur le plan juridique, cela peut passer par une exigence d’hébergement au sein de la CEE. Cet espace est à la fois suffisamment contrôlé, homogène et assez vaste pour qu’un fournisseur de service puisse s’y établir avec des économies d’échelle suffisantes.
Ensuite, il est possible d’imposer au prestataire le respect de conditions juridiques nationales. Charge au prestataire d’accepter de les respecter sans que cela ne remette en cause leur offre technique. Par exemple, la puissance publique pourrait poser des conditions d’ouverture d’accès juridique aux données.
Et puis il faut rappeler que toutes les activités publiques ne traitent pas non plus des informations qui relèvent du secret défense.
Sur le plan technique, on peut édicter des normes mais elles doivent rester dans des standards. Les services Saas qui adressent un large marché mettent en œuvre d’office un niveau de sécurité qui est en général largement supérieur à ce que l’on peut trouver chez des hébergements dédiés, ou même dans les infrastructures en propres de nos collectivités.
Le niveau de sécurité de Google Apps, et leur charte de confidentialité, est d’une extrême clarté. Le niveau de protection technique est parmi les plus élevés au monde.
Il faut donc surtout éviter de reproduire des normes complexes difficiles à comprendre et à respecter, qui ne feront qu’empiler des coûts inutiles ou décourager les candidats.
Un exemple des années 2000 est celui de l’agrément Hébergeur de données de santé qui impose des contraintes draconiennes parfois totalement irréalistes. Cela a abouti dans un premier temps à des délais d’homologation qui ont été jusqu’à 3 ans, et à un assèchement du marché pour les établissements de santé faute de prestataires homologués. Les normes parfois inapplicables ont dû évoluer dans le temps, ce qui fait que les premiers homologués ne l’ont probablement pas été sur les mêmes bases que les derniers. Enfin, les exigences de sécurité technique sont montées à un tel niveau de complexité qu’elles ont entraîné une inflation des coûts insupportables pour un secteur qui doit par ailleurs réaliser des économies.
A noter que dans le même temps, les établissements qui hébergeaient eux-mêmes n’étaient soumis à aucune contrainte, alors que le risque est strictement le même.
Il faut absolument se garder de toute surenchère en la matière et intégrer dans les consultations des prestataires et des acteurs publics de toute taille, car ce qui peut s’appliquer à un marché important sur une très grande collectivité, ne fera plus de sens sur un marché limité pour une collectivité modeste. De même, des exigences déraisonnables pourraient aboutir à exclure les prestataires de taille modeste, alors qu’ils pourraient précisément avoir une structure de coûts plus adaptée.
L’exigence d’un référencement “Secure Cloud” doit être bien réévalué: aura-t-on la capacité à traiter les demandes d’agrément dans des délais raisonnables, et sans créer de distorsion de concurrence ? L’exemple des débuts de l’agrément Hébergeur de données de santé n’incite pas à l’optimisme.
Publier un catalogue d’exigences à plusieurs niveaux (indispensable, recommandé, et critique) en laissant aux collectivités la latitude d’évaluer leur risque et d’appliquer ces normes en fonction de leur dossier parait une solution bien plus raisonnable. C’est d’ailleurs l’approche actuelle de l’ANSII qui recommande de traiter au cas par cas sur la base des enjeux et d’un référentiel. Il serait plus facile et plus rapide de compléter et préciser cette démarche que de bâtir et déployer un nouveau référenciel.
Une dernière réflexion en faveur de l’abandon d’un référencement rigide: l’ANSII et les organismes en charge de la sécurité dans le public se plaignent de leurs difficultés à sensibiliser les élus et les collectivités à ces sujets qui sont techniques et arides.
C’est certainement une réalité, et il suffit pour cela de lire des appels d’offre. On constatera en effet qu’il règne encore une grande confusion sur ces sujets: deux appels d’offre portant sur des périmètres comparables peuvent présenter des exigences de sécurité radicalement différentes. Un autre appel d’offre peut formuler ses attentes de manière inapplicable ou incompréhensible pour les candidats.
Employons donc nos efforts et moyens à des actions de pédagogie et sensibilisation, de manière à ce que les risques et les techniques soient bien maîtrisées par les acteurs publics et qu’ils soient en mesure de bien évaluer les enjeux pour formuler les attentes en la matière.
Gardons un marché ouvert au niveau européen, tout en conservant des exigences juridiques nationales s’il le faut. Mais restons pragmatiques et cohérents sur les exigences de sécurité. Le risque majeur est que nous fermions le marché pour les collectivités et qu’elles payent cher des prestations qui ne seront pas à l’état de l’art au niveau international.
Résistons donc à la tentation du protectionnisme et l’enfermement national en matière de sécurité Cloud, si il y a bien un domaine où il ne sera inefficace, c’est bien celui-ci.
Commenter cet article