Migration du secteur public vers le cloud ou comment maîtriser les enjeux liés à la protection des données sensibles ?

Migration du secteur public vers le cloud ou comment maîtriser les enjeux liés à la protection des données sensibles ?

Le Canton de Zurich donne son feu vert au passage sur le cloud de Microsoft 365.

Positive Thinking Company Suisse salue une décision conforme à la « Stratégie cloud » du Conseil fédéral qui pourrait inspirer d’autres cantons ainsi que des structures privées soucieuses de maîtriser les enjeux liés à la protection des données sensibles.

Rappelons que la stratégie adoptée par le Conseil fédéral pour une utilisation efficace et ordonnée de services dématérialisés, permet à l’administration fédérale d’accéder aux services cloud proposés par les seuls fournisseurs référencés, à savoir : Amazon Web Services EMEA Sàrl, IBM Suisse SA, Microsoft Suisse Sàrl, Oracle Software Suisse Sàrl et Alibaba. De plus, la stratégie fédérale prévoit des précautions particulières pour répondre aux problématiques inhérentes au passage vers le cloud (lieu de stockage des données, hébergement de données sensibles, transfert des données personnelles à l’étranger, accès aux données sur réquisition des autorités notamment américaines, souveraineté, etc.).

Sommaire

Quels sont les bénéfices d’un passage au cloud pour les organisations du secteur public ?

Si tout le monde s’accorde sur les avantages traditionnels du cloud, nous ajoutons que le cloud offre aussi des bénéfices spécifiques au secteur public.

De manière générale, le cloud permet :

D’une autre part, plusieurs atouts du cloud s’adressent particulièrement au secteur public. Dans la mesure où une administration bascule sur le cloud, elle développe son attractivité et offre une continuité des services en fournissant des services en ligne aux citoyens. Cette tendance s’est d’ailleurs développée pendant la période de la Covid-19 durant laquelle de nombreux services publics ont accéléré la dématérialisation de leurs démarches administratives. Ces derniers en retirent plusieurs bénéfices tels que :

Les défis du cloud dans le secteur public

Malgré les avantages évidents et avérés du passage vers le cloud, son adoption reste plus lente pour le secteur public. Plusieurs raisons expliquent cela tant les facteurs sont autant internes qu’externes qu’au projet de migration sur le cloud.

D’une part, les facteurs internes rassemblent les éléments propres à tout projet de cette envergure : l’opportunité d’un tel changement, le niveau de maturité du projet (arbitrage stratégique, disponibilité des ressources (budgétaires, matérielles, humaines), le niveau de maturité de la structure concernée (les services, les équipes), l’enjeu financier (estimations des gains potentiels, réaffectation des dépenses, mesure du ROI) et la prise en compte des risques associés au projet. Sans tomber dans la caricature, considérant que le basculement sur le cloud est un changement majeur pour une organisation, il apparaît que les services publics sont aussi contraints par les choix politiques et les orientations prises au plus haut niveau.

D’autre autre part, des facteurs externes viennent à leur tour expliquer la lenteur de l’adoption du cloud par les services publics.

Toutefois, la nouvelle rassurante face à ces défis est que les services publics peuvent compter sur des solutions pratiques comme celles proposées par Positive Thinking Company, qui accompagne déjà de nombreux clients exigeants dans leur projet de migration sur le cloud.

Les conditions d’une migration vers le cloud réussie

Positive Thinking Company recommande une approche en 3 étapes :

  1. Évaluer votre niveau de maturité pour basculer ou adopter les services cloud. En effet, il est tout aussi important de mesurer les avantages et inconvénients du cloud, que de savoir si nous sommes prêts ou pas à y aller. Pour en savoir plus, nous vous invitons à contacter nos experts cloud afin de découvrir leur approche pré-migration «Cloud Readiness Assessment».
  2. Obtenir les garanties suffisantes de protection des données confiées à votre prestataire de services (CSP Cloud Service Provider, Hébergeur de données, etc.). Cela peut prendre la forme de mesures spécifiques (un contrat de services contraignant, un audit préalable ou périodique du prestataire de services, etc.) et/ou de dispositifs particuliers à déployer (pseudonymisation, anonymisation, chiffrement des données, etc.).
  3. Analyser les risques auxquels votre système d’information est exposé afin de déterminer les actifs, les ressources, les applications, les données, les départements, les services et les fonctions prioritaires à basculer sur le cloud. Une analyse d’impact en matière de protection des données sera aussi réalisée en cas d’implication de données à caractère personnel.

En définitive, selon leur niveau d’appétence aux risques, leur environnement et leur niveau de d’exigence, les services publics seront plus ou moins enclins à basculer sur le cloud. En tout état de cause, la décision du Canton de Zurich devrait faire des émules car elle s’aligne sur les orientations prises au niveau fédéral. Cependant, ne perdons pas de vue que les administrations gèrent un volume important de données notamment sensibles, dont il faut assurer la protection. Ce point mérite une attention particulière et devrait continuer de peser sur les décisions des organisations pour le cloud. En effet, les risques qui pèsent sur les traitements des données sensibles (conservation, archivage, transferts, etc.) sont assez importants et amènent les décideurs à prendre des mesures ou des garanties supplémentaires de protection des données sensibles.