Migration du secteur public vers le cloud ou comment maîtriser les enjeux liés à la protection des données sensibles ?

Le Canton de Zurich donne son feu vert au passage sur le cloud de Microsoft 365.

Positive Thinking Company Suisse salue une décision conforme à la « Stratégie cloud » du Conseil fédéral qui pourrait inspirer d’autres cantons ainsi que des structures privées soucieuses de maîtriser les enjeux liés à la protection des données sensibles.

Rappelons que la stratégie adoptée par le Conseil fédéral pour une utilisation efficace et ordonnée de services dématérialisés, permet à l’administration fédérale d’accéder aux services cloud proposés par les seuls fournisseurs référencés, à savoir : Amazon Web Services EMEA Sàrl, IBM Suisse SA, Microsoft Suisse Sàrl, Oracle Software Suisse Sàrl et Alibaba. De plus, la stratégie fédérale prévoit des précautions particulières pour répondre aux problématiques inhérentes au passage vers le cloud (lieu de stockage des données, hébergement de données sensibles, transfert des données personnelles à l’étranger, accès aux données sur réquisition des autorités notamment américaines, souveraineté, etc.).

Quels sont les bénéfices d’un passage au cloud pour les organisations du secteur public ?

Si tout le monde s’accorde sur les avantages traditionnels du cloud, nous ajoutons que le cloud offre aussi des bénéfices spécifiques au secteur public.

De manière générale, le cloud permet :

• de réduire les investissements par le transfert des dépenses d’investissement liées à l’acquisition d’équipements informatiques en dépenses de fonctionnement relatives aux abonnements ;
• de disposer d’infrastructures de pointe, maintenues par un tiers et disponibles en 24/7 ;
• d’avoir la flexibilité et la scalabilité des infrastructures en ligne ;
• de développer son agilité et d’utiliser l’ensemble des ressources disponibles selon ses besoins.

D’une autre part, plusieurs atouts du cloud s’adressent particulièrement au secteur public. Dans la mesure où une administration bascule sur le cloud, elle développe son attractivité et offre une continuité des services en fournissant des services en ligne aux citoyens. Cette tendance s’est d’ailleurs développée pendant la période de la Covid-19 durant laquelle de nombreux services publics ont accéléré la dématérialisation de leurs démarches administratives. Ces derniers en retirent plusieurs bénéfices tels que :

• la réduction de leur impact environnemental ;
• la fourniture de prestations administratives plus économiques ;
• une offre de prestations nouvelles et facilement accessibles pour la population.

Les défis du cloud dans le secteur public

Malgré les avantages évidents et avérés du passage vers le cloud, son adoption reste plus lente pour le secteur public. Plusieurs raisons expliquent cela tant les facteurs sont autant internes qu’externes qu’au projet de migration sur le cloud.

D’une part, les facteurs internes rassemblent les éléments propres à tout projet de cette envergure : l’opportunité d’un tel changement, le niveau de maturité du projet (arbitrage stratégique, disponibilité des ressources (budgétaires, matérielles, humaines), le niveau de maturité de la structure concernée (les services, les équipes), l’enjeu financier (estimations des gains potentiels, réaffectation des dépenses, mesure du ROI) et la prise en compte des risques associés au projet. Sans tomber dans la caricature, considérant que le basculement sur le cloud est un changement majeur pour une organisation, il apparaît que les services publics sont aussi contraints par les choix politiques et les orientations prises au plus haut niveau.

D’autre autre part, des facteurs externes viennent à leur tour expliquer la lenteur de l’adoption du cloud par les services publics.

• En premier lieu, le cadre légal composé par l’ensemble des accords des lois et règlements aussi bien fédéraux qu’internationaux. En l’espèce, le package relatif à la protection des données notamment les données à caractère personnel et les données sensibles (RGPD, LPD, Cloud Act, Privacy Shield, etc.), constitue à lui tout seul un point bloquant pour de multiples projets. À titre d’exemple, le fait de migrer son infrastructure et ses données sur l’environnement cloud du fournisseur américain Microsoft expose ses clients à ce que leurs actifs informationnels puissent être rendus accessibles aux autorités américaines sur réquisition de celles-ci. C’est la raison pour laquelle le Conseil fédéral Suisse est en train de définir des directives internes et de préparer les contrats avec les fournisseurs référencés afin de se doter de mesures protectrices.
• En second lieu, les aspects organisationnels liés à la gestion de l’environnement cloud sont un frein au changement lorsque ces aspects sont reliés aux contraintes légales évoquées précédemment. C’est ainsi que les questions de travail collaboratif, de territorialité (lieu de stockage et de sauvegarde des données), de partage et/ou transfert des données dans un territoire n’offrant pas les garanties suffisantes de protection des données personnelles, etc. posent des questions qui font obstacle au passage au cloud.

Toutefois, la nouvelle rassurante face à ces défis est que les services publics peuvent compter sur des solutions pratiques comme celles proposées par Positive Thinking Company, qui accompagne déjà de nombreux clients exigeants dans leur projet de migration sur le cloud.

Les conditions d’une migration vers le cloud réussie

Positive Thinking Company recommande une approche en 3 étapes :

1. Évaluer votre niveau de maturité pour basculer ou adopter les services cloud. En effet, il est tout aussi important de mesurer les avantages et inconvénients du cloud, que de savoir si nous sommes prêts ou pas à y aller. Pour en savoir plus, nous vous invitons à contacter nos experts cloud afin de découvrir leur approche pré-migration «Cloud Readiness Assessment».
2. Obtenir les garanties suffisantes de protection des données confiées à votre prestataire de services (CSP Cloud Service Provider, Hébergeur de données, etc.). Cela peut prendre la forme de mesures spécifiques (un contrat de services contraignant, un audit préalable ou périodique du prestataire de services, etc.) et/ou de dispositifs particuliers à déployer (pseudonymisation, anonymisation, chiffrement des données, etc.).
3. Analyser les risques auxquels votre système d’information est exposé afin de déterminer les actifs, les ressources, les applications, les données, les départements, les services et les fonctions prioritaires à basculer sur le cloud. Une analyse d’impact en matière de protection des données sera aussi réalisée en cas d’implication de données à caractère personnel.

En définitive, selon leur niveau d’appétence aux risques, leur environnement et leur niveau de d’exigence, les services publics seront plus ou moins enclins à basculer sur le cloud. En tout état de cause, la décision du Canton de Zurich devrait faire des émules car elle s’aligne sur les orientations prises au niveau fédéral. Cependant, ne perdons pas de vue que les administrations gèrent un volume important de données notamment sensibles, dont il faut assurer la protection. Ce point mérite une attention particulière et devrait continuer de peser sur les décisions des organisations pour le cloud. En effet, les risques qui pèsent sur les traitements des données sensibles (conservation, archivage, transferts, etc.) sont assez importants et amènent les décideurs à prendre des mesures ou des garanties supplémentaires de protection des données sensibles.

Share

Grâce à nos
Auteur

Franklin N.