"L'enjeu de Cloud au centre, ce n'est pas l'hébergement mais la transformation de l'Etat", Vincent Coudrin (Dinum)

L'Usine Digitale : La doctrine gouvernementale "Cloud au centre" – qui fait notamment du cloud un prérequis pour tout nouveau projet numérique au sein de l'Etat – a été adoptée en juillet 2021. Près de deux et demi plus tard, quel bilan peut-on en faire ?

Vincent Coudrin (Dinum) : Nous avons des marqueurs qui nous indiquent que le cloud est présent désormais partout dans l'Administration. Il y a à peu près un nouveau projet par jour dans le cloud, que ce soit le cloud interne à l'Etat ou le cloud commercial. Est-ce beaucoup ou peu ? La réponse est qu'on ne sait pas très bien le dire. Nous, nous sommes plutôt organisés comme une direction des systèmes d'information (DSI) stratégique : l'intégralité des projets de toutes les tailles ne sont pas tamponnés par la Direction interministérielle du numérique (Dinum). Nous avons intégré à l'audit des grands projets de l'Etat, c'est-à-dire des projets de plus de 9 millions d'euros, l'analyse de la conformité à la doctrine cloud de l'Etat. Mais pour les projets en dessous de cette somme nous ne les voyons pas. Est-ce qu'il y a des projets qui ne vont pas dans le cloud ? Peut-être, peut-être pas. Mais ce n'est pas très important.

En effet, quand vous mesurer l'adoption au cloud, déjà il faut savoir ce que veut dire "faire du cloud" et quel est l'objectif poursuivi. Faire du cloud, c'est une posture, c'est-à-dire que vous allez développer des applications qui répondent à des principes techniques qui sont ceux du "cloud native" et un mode de production des applications qui va être beaucoup plus agile. Si l'enjeu, c'est uniquement l'hébergement, on n'a pas de problème. On a déjà des infrastructures au sein de l'Etat. On va faire du cloud pour transformer notre manière de produire le numérique de l'Etat. La meilleure manière de le mesurer est de mesurer le nombre de personnes et pas le nombre de machines. Car vous n’allez probablement que mesurer le chiffre d'affaires que vous allez verser aux prestataires.

Si vous regardez le nombre d'agents publics formés, vous allez regarder la manière dont petit à petit vous faites pivoter le logiciel interne de l'Etat. Cela nous paraît beaucoup plus fondamental. Pour la deuxième édition de cette journée "Cloud", on a presque trois fois plus de monde en termes d'agents publics inscrits, nous avons une communauté qui grossit dans les mêmes proportions avec un public composé à 60% de décideurs. On est en train d'attaquer les bonnes couches sur la prise de conscience sur ce qu'est le cloud, c'est-à-dire un enjeu de modernisation pour l'Etat. Plus généralement, nous voyons que toutes les administrations sont soit en train de planifier, soit de décliner leur stratégie cloud.

L'Usine Digitale : Est-ce que certaines administrations sont plus avancées que d'autres ?

Vincent Coudrin : Le cloud c'est compliqué. Il faut à peu près 18 mois pour s'approprier les concepts. La stratégie est donc que le plus de personnes possibles commence le plus tôt possible. C'est ce qui va nous faire gagner en maturité avec un effet boule de neige. Ce qui est important c'est de passer d'une culture où l'on planifie à une culture du "faire".

Dans les détails, les administrations productrices de cloud – comme le ministère de l'Intérieur et le ministère des Finances – sont très avancées. Egalement le ministère des Armées car il y a des enjeux d'agilité opérationnelle. De son côté, le ministère de la Culture, qui a énormément d'opérateurs, est en train de créer des offres pour ces opérateurs, ce qui est vraiment "très cloud" comme posture. Il y a une culture de la confidentialité au ministère des Affaires Etrangères où les équipes ont été les premières à mettre dans le cloud tout ce qu'elles pouvaient dès 2021. De manière générale, tout le monde y va, à sa manière. Ce n'est ni un concours ni une course.

L'Usine Digitale : De façon concrète, quelles offres de cloud peuvent choisir ces administrations ?

Vincent Coudrin : Ce qu'a fait la doctrine, qui est vraiment une rupture par rapport aux politiques antérieures qui étaient des soutiens à l'offre sans stimuler la demande, c'est commencer par orienter la commande publique vers le cloud commercial ainsi que de ne pas faire de différence entre le cloud interne à l'Etat et le cloud commercial qualifié SecNumCloud, mettant le tout dans la sphère de confiance. Puis on s'est donné les moyens de développer des offres de qualité, soit en interne, soit en externe avec la partie SecNumCloud.

Aujourd'hui, il y a trois types d'offres. Il y a le cloud interne dédié aux services sensibles de l'Etat : Nubo opéré par la Direction générale des finances publiques (DGFiP) et ? (Pi), opéré par le ministère de l'Intérieur. A côté, il y a le cloud "commercial" accessible à l'ensemble des acteurs publics, subdivisé entre le cloud commercial de confiance, qualifié SecNumCloud, et le cloud commercial générique. En partant de zéro, nous avons 70% de croissance sur la consommation de cloud externe. On est à 76 millions d'euros TTC de dépenses cumulées. Cela commence à devenir significatif. Les fournisseurs arrêtent de se plaindre de ne jamais avoir de commande publique.

Le tout s'articule avec la stratégie cloud de France 2030, ce qui nécessite un dialogue permanent entre l'Agence nationale de la sécurité des systèmes d'information (Anssi), la Direction générale des entreprises et la Dinum pour avoir un plan cohérent pour soutenir un écosystème que nous consommons.

L'Usine Digitale : Puisque le choix du cloud dépend notamment de la sensibilité des données, quel est le pourcentage de données sensibles au sein des administrations ?

Vincent Coudrin : Le Cigref [association des grandes entreprises et association publiques française souhaitant promouvoir le numérique, ndlr] parle de 15 à 20% d'informations sensibles. Nous sommes un peu au dessus puisque le terme régalien s'applique particulièrement à nous. Au niveau de l'Etat central, c'est plutôt 35% et du côté des opérateurs, c'est plutôt 20%.

Cette fourchette n'a pas vocation à être plus grosse. En effet, le SecNumCloud c'est plus cher et c'est plus contraignant. Nous n'avons pas du tout envie de le consommer plus que nécessaire. Par ailleurs, cela serait problématique du point de vue du respect de l'accord sur les marchés publics de l'Organisation mondiale du commerce (OMS) qui proscrit l'application de la préférence nationale.

L'Usine Digitale : Entre les offres franco-américains S3NS et Bleu et la multiplication des offres, que pensez-vous du marché actuel du SecNumCloud ?

Vincent Coudrin : Nous avons un regard très neutre là-dessus. En effet, en tant qu'acheteur public, nous allons pas promettre des commandes à des fournisseurs. Nous, ce qu'on fait c'est qu'on crée des normes et de demande qu'on s'y conforme. Pour les données sensibles, nous avons dit que nous n'utiliserons pas de solutions qui ne soient pas qualifiées par l'Anssi. Il y a des choix qui ont été faits en 2019, deux ans avant la publication de la doctrine, il faut arrêter de pleurer dessus et chercher la sortie. Il ne faut pas les juger avec les lunettes d'aujourd'hui. C'est en réponse à ces crises qu'on a dit qu'on ne pouvait pas héberger de données sensibles sur les solutions non qualifiées. Ce qui impose aux fournisseurs de passer les qualifications.

Malgré les résistances, illustrées dans les papiers des lobbyistes à Bruxelles, le marché s'est organisé pour répondre à cette contrainte. Donc nous considérons que c'est un succès et certainement pas un renoncement. Après, nous aurons l'avis de l'Anssi, c'est-à-dire que si elle nous dit que les solutions sont conformes à nos exigences en matière de sécurité et de souveraineté, nous ne sommes que des acteurs publics. Nous mettons des clauses, si les gens les respectent... En tout cas, nous n'excluons pas les personnes sur leur mauvaise tête. A noter également que les entreprises qui ont accepté d'investir sont celles qui demain bénéficieront de la protection des investissements à l'échelle française et européenne.

L'Usine Digitale : Pensez-vous que le débat sur l'adoption du cloud par l'Etat s'est trop focalisé sur les questions autour de l'application extraterritoriale des lois américaines notamment ?

Vincent Coudrin : L'enjeu d'adoption du cloud n'est pas un enjeu d'hébergement. Souvent, la doctrine cloud est résumée à "il faut utiliser du SecNumCloud", ce qui est quand même tout à la fin du document. L'enjeu du cloud c'est la transformation. Si notre enjeu, c'était d'être hébergé sur des plateformes sécurisées, nous n'avons besoin de rien. Nous avons déjà des data centers et nous savpns déjà virtualiser nos machines. C'est n'est pas du tout un enjeu.

Nous avons besoin du cloud parce que c'est une transformation à opérer. Evidemment, il y a une contrainte qui est celle de la souveraineté, parce qu'on est l'Etat. Ce n'est même pas majoritaire dans nos cas d'usage. Il ne faut pas se tromper de débat. Moderniser les services publics, c'est ça notre vrai enjeu. Le débat sur la question de la localisation des plateformes ne doit pas nous faire oublier le véritable enjeu qui est celui de la modernisation de l'Etat, ce qui suppose que nous travaillons avec des offres qui soient de qualité.

Sélectionné pour vous

Une organisation sur deux a déjà écarté une solution IT pour des raisons de souveraineté

Droits d'auteur : Anthropic met fin à un procès en payant 1,5 milliard de dollars

Supply chain, gouvernance, audibilité : Les leçons à tirer du stress test sur la sécurisation de l'IA