Critère n°1 : selon le niveau de sensibilité des données
Mounir Mahjoubi, ancien secrétaire d’État chargé du Numérique, a dévoilé le 3 juillet 2018 la stratégie cloud de l’État. On y apprend notamment que l’un des points clés de l’arbitrage entre cloud public (informatique totalement externalisée), privé (sur des infrastructures internes) ou hybride (une partie du service supporté par le cloud public seulement) est la sensibilité des données qui vont pouvoir ou devoir être partagées avec le fournisseur de cloud. Si l’initiative témoigne de la volonté de l’État de proposer une ligne de conduite claire pour ses institutions, elle donne aussi un bon point de référence pour les autres acteurs publics, à leur niveau. Toutes les organisations publiques collectent, stockent et traitent des données sensibles : données personnelles des citoyens soumises au RGPD mais aussi parfois des données de fonctionnement plus « critiques » directement ou indirectement (sécurité des individus, des systèmes…). C’est pourquoi ces données doivent bénéficier d’une attention particulière. Si la volonté est tout de même de profiter de l’agilité et des gains du cloud, il faut alors de préférence avoir recours à un cloud dédié ou souverain ou, dans le cas d’un logiciel SaaS, d’un acteur de confiance a priori français. La sécurité a un coût, qui peut s’avérer élevé pour les communes les plus petites, et le cloud computing présente l’avantage de fournir une forme de mutualisation, permettant de répartir ainsi les coûts associés entre plusieurs organisations et surtout d’obtenir un niveau de sécurité et de maintenance bien plus élevé que dans des petites infrastructures informatiques locales. De plus, toutes les données n’ont pas vocation à être stockées dans le cloud : l’important est d’avoir une visibilité claire sur la criticité de chaque ensemble de données pour son organisation, afin de pouvoir arbitrer sur la méthode qui leur permettra de bénéficier du meilleur niveau de sécurité et de confidentialité.
Critère n°2 : selon la taille de votre organisation
Le principe du cloud est qu’il est accessible à tous les organismes publics, quels que soient leur taille et leurs moyens. Ainsi, les collectivités et intercommunalités n’auront pas les mêmes besoins et le cloud n’adressera alors pas les mêmes enjeux. Les collectivités de moins de 5 000 habitants pourront ainsi héberger leurs données dans une offre de cloud mutualisée afin de bénéficier des meilleurs tarifs. De même, l’UGAP, l’union des groupements d’achat public, met à votre disposition une large gamme de solutions en SaaS sélectionnées dans le respect du Code des marchés publics. De même, s’appuyer sur ce type de structures d’achats publics groupés, permet d’identifier les prestataires présélectionnés pour chaque typologie de besoins : conseil en stratégie d’hébergement, implémentation, exploitation des technologies Cloud ; et d’accélérer la commande publique de six mois en moyenne.
Critère n°3 : selon les services que vous souhaitez externaliser
Si le SaaS est le modèle le plus courant, notamment pour les solutions métiers de type RH ou Finance, à l’image de la Déclaration Sociale Nominative (DSN), d’autres modèles, Platform as a Service (PaaS) et Infrastructure as a service (IaaS), existent mais impliquent parfois un niveau de difficulté supérieur. C’est pourquoi, vous devez donc évaluer les contraintes associées pour envisager ou non de retenir ces solutions cloud. Le PaaS semble ouvert à un plus grand nombre d’organisations car seules les données et applications sont à gérer en interne. Il n’est donc pas forcément nécessaire de disposer d’une DSI au contraire du modèle IaaS. En effet, ce dernier impose que vous gériez vous-même les couches des systèmes d’exploitation et middleware. Il s’adresse alors aux collectivités plus importantes qui ont besoin par exemple de déployer des applications sur-mesure.
Critère n°4 : selon le prestataire sélectionné
Le recours au cloud public impose de choisir un prestataire de services. Comment alors effectuer le choix le plus judicieux ? L’État a lancé en septembre dernier un appel d’offres pour sélectionner les acteurs de cloud public. Les critères retenus reposent sur la qualité et la sécurité des offres proposées, ouvrant ainsi la porte aux fournisseurs étrangers, notamment les Amazon, Google et autres Microsoft qui collaborent déjà avec certaines collectivités ou administrations en France. Toutefois, de plus en plus d’acteurs publics appellent aujourd’hui à un cloud souverain, notamment pour contrer le Cloud Act. N’hésitez pas alors à faire appel à un tiers de confiance, neutre, pour vous aider à retenir la meilleure offre selon vos besoins et vos priorités.
Critère n°5 : selon votre infrastructure existante
Pour effectuer le ou les bons choix, pensez à effectuer un audit des infrastructures d’hébergement existantes, internes ou externes. Les avantages sont multiples. Le premier : vous pourrez élaborer votre plan de transformation informatique selon vos exigences en termes de continuité de service et de sécurité. Cette étape vous donnera alors une vision globale sur l’état de votre infrastructure, les points d’amélioration à apporter et les critères à exiger auprès de votre prestataire. Parmi ces points faibles à surveiller : la sécurité des données, la connectivité, la qualité de service, les garanties de continuité ou de reprise d’activité, mais aussi la durée renseignée ou le droit de rupture anticipée dans l’accord-cadre. Autre atout : le fait d’identifier l’ensemble des points de surveillance vous permettra également de mieux anticiper et maîtriser vos coûts !