En juillet, l’État revoyait sa stratégie d’hébergement et de calcul, avec trois niveaux selon la sensibilité des informations concernées, du cloud public à des installations privées, contrôlées par les administrations.

La page de l’annonce a depuis disparu, mais une circulaire datée du 8 novembre (PDF), éditée par le cabinet du Premier ministre, détaille une nouvelle fois cette « doctrine », désormais considérée comme officielle. Il demande, entre autres, de modifier la réglementation quand nécessaire.

Notons que le « cloud interne » pour données sensibles s’appuie sur OpenStack, et est censé être accessible simplement à tous les ministères, notamment pour les besoins régaliens. « L'ensemble des ministères pourra déployer des services en mode « Saas » [logiciels distants clés en main] sur cette infrastructure » promet le gouvernement.

Le « cloud dédié », hébergé chez un industriel du secteur, sera réservé aux services de l’État et devra faciliter la migration avec le « cloud interne ». « La personnalisation comprend l'intégration du service de supervision de sécurité de [l’agence de cybersécurité française] I'ANSSI ainsi que certains composants de France Connect Plateforme. »

Ces deux premiers cercles devront respecter des exigences de sécurité minimales, dont celles du label SecNumCloud Essentiel 1 de l’ANSSI.

Enfin, le « cloud externe » (comprendre public) sera porté par des centrales d’achat comme l’UGAP. Ces offres plus innovantes devront tout de même répondre à des critères précis « de fonctionnalité, de réversibilité et de sécurité ».

Peu de détails sont fournis sur ces offres et les attentes de l’État. Le « cloud dédié » est censé être mis en place l’an prochain par la Direction interministérielle du numérique (la DINSIC), déjà en charge de la future messagerie sécurisée française.