Projet de stratégie de l’informatique en nuage des autorités suisses

Faute de temps, j’avais interrompu ma série de billet sur l’archivage dans les nuages (voir https://regarddejanus.wordpress.com/2011/07/17/archivistique-et-informatique-en-nuage-archiving-and-cloud-computing-premier-episode-%E2%80%93-recommandations-de-nouvelle-galles-du-sud-australie/). L’actualité gouvernementale récente en Suisse m’oblige à ouvrir un nouveau chapitre à ce sujet. En effet la Confédération suisse vient de mettre en consultation sa stratégie de cloud computing. Le particularisme du fédéralisme helvétique fait que celle-ci est mise en consultation auprès de tous les partenaires publics (confédérations, cantons, communes, établissements publics, etc.) et privés (prestataires de services). Les textes de la consultation sont ici : http://www.isb.admin.ch/themen/strategien/00071/01452/index.html?lang=fr. Ils comprennent :

–       La stratégie proprement dite
–       Un catalogue de mesures d’accompagnement
–       Un commentaire de la stratégie qui explicite certains points de détails

Stratégie

Le document débute, comme les documents des autres administrations dont j’ai déjà parlé, par une définition des services en nuage. Il est plus succinct que ceux des autres pays car le détail en est développé dans le texte de commentaires. Il expose ensuite succinctement une « vision » en trois points :

Les autorités utilisent les offres Cloud

Les autorités suisses et leurs fournisseurs de prestations TIC utilisent, dans le cadre des bases légales, des services Cloud pour le soutien TIC de leur activité lorsque ces services sont économiquement avantageux et suffisamment sûrs.

Les autorités proposent des services Cloud

Les autorités suisses mettent à disposition du public leurs prestations sous forme de services Cloud (SaaS) lorsque cela est économiquement justifiable et apporte une plus-value aux clients.

Un Cloud gouvernemental pour un besoin de sécurité élevé

Pour les données et les applications dont le besoin de sécurité est élevé, les autorités utilisent des services Cloud gouvernemental dédiés mis à disposition sous forme de Clouds communautaires.

Contrairement aux prescriptions d’autres états ou instances, cette stratégie place d’entrée de jeu les genres d’usages souhaitables du cloud computing et les niveaux de services correspondant.

Principes stratégiques (chap. 4)

Cette vision, très stratégique, est précisée avec huit principes stratégiques. En l’état il s’agit de formulations générales qui ne veulent pas dire grand chose. On peut cependant relever les axes suivants :

  • La volonté d’examiner systématiquement les solutions cloud lors des futures évolutions des applications informatiques des administrations.
  • Le souci de mettre des garde-fous en ce qui concerne les données sensibles au niveau de la souveraineté nationale.
  • La volonté d’une politique coordonnée entre les différents acteurs, de façon à rationnaliser l’offre des services cloud.

Principaux axes stratégiques (chap. 5)

En complément aux principes, cinq axes déclinant les mesures préalables pour une utilisation judicieuse et adéquate du cloud. Les cinq axes sont :

  1. la promotion de l’usage du cloud
  2. l’adaptation des bases légales
  3. la mise en place de cloud dédié (sécurité)
  4. la mise en place de cloud pour le public (open data)
  5. la collaboration public-privé, dans un environnement normalisé.

Ces axes sont déclinés plus précisément dans le catalogue de mesures qui en précise la planification (2012-2016).

Catalogue de mesures

Ce document détaille les mesures à prendre à différents niveau et selon les axes stratégiques pour mener à bien la stratégie. Elle rentre dans le détail et j’en ferai une analyse approfondie ultérieurement.

Commentaires de la stratégie

Ces commentaires suivent l’ordonnancement de la stratégie. En détaillant les considérations qui ont menés aux options choisies. C’est donc le document le plus intéressant pour la compréhension de cette stratégie.

Elle commence par un long chapitre (chap. 2 sur les conditions –cadres au plan légal. C’est un tableau assez exhaustif des contraintes légales qui s’appliquent à la gestion des informations en cloud dans les différents domaines du droit, soit :

  • Le doit des contrats (le plus développé)
  • Le droit des marchés publics
  • La protection des données
  • La conservation du secret
  • La protection de l’information
  • Le matériel informatique (sécurité)
  • Le droit sur les logiciels et les droits d’auteur

Bien qu’elles se rapportent au domaine juridique suisse, les questions abordées sont suffisamment génériques pour être exploitées dans d’autres ordres juridiques.

Le chapitre 3 se rapporte à l’introduction de la stratégie. Au-delà d’une présentation de la problématique dans les autres pays, la partie la plus intéressante est le paragraphe final exposant les contraintes structurelles propres à la situation suisse dont « Les structures administratives fédéralistes des autorités suisses conduisent à des structures de fourniture de prestations TIC fines avec parfois de très petites unités, ce qui entraîne une redondance élevée dans le domaine des tâches de gestion TIC et par conséquent un besoin en ressources élevé. » ce qui justifie pleinement les objectifs de gains potentiellement apportés par une structure en nuage qui permettrait une mutualisation des ressources.

Le chapitre 4 reprend en détail les caractéristiques techniques du cloud computing. Sa particularité par rapport à d’autres descriptions du même genre est qu’il décrit les conséquences que ces choix impliquent en termes d’organisation. Enfin, il présent un tableau final qui synthétise très clairement les avantages/inconvénients des différentes options.

Le chapitre 5 comment le chapitre 3 de la stratégie, concernant la vision. Il n’apporte que des précisions mineures par rapport au texte de la stratégie.

Le chapitre 6 commente le chapitre 4 de la stratégie sur les principes stratégiques. Je ne met en exergue ci-dessous que celles qui apportent une précision utile à mes yeux

Le cloud en tant qu’option.
Il est précisé que l’option cloud doit être systématiquement examinée pour les nouveaux développements mais qu’il serait onéreux et contre-productif de l’examiner systématiquement pour toutes les applications existantes.

Souveraineté nationale
Il est précisé que toute la chaîne de la prestation (i.c. la sous-traitance) doit être examinée en fonction des exigences de sécurité.

Le chapitre 7 commente le chapitre 5 de la stratégie sur les axes stratégiques. Il justifie la promotion active de l’utilisation du cloud et préconise  la mise en place deux outils principaux :

  • Un système de labélisation, permettant de faciliter le choix des solutions cloud adéquates en fonction des contraintes existantes.
  • La création d’un centre de compétence pouvant apporter une assistance aux nombreuses petites structures formant le tissu administratif en Suisse.

Dans l’axe « adaptation des bases légales », le commentaire pointe le fait que la complexité et la variabilité du droit du à l’organisation fédéraliste de la Suisse, constitue un obstacle pour la mise en place de solutions communes.

Pour l’axe « cloud dédié pour les autorités » le commentaire précise les exigences spécifiques que ces services doivent remplir pour répondre aux exigences de sécurité. D’autre par il explique la nécessité d’utiliser des structures de type Plateform as a service (Paas) pour éviter les problèmes inhérents au basculement d’un environnement de développement vers un environnement de production.

Conclusions

La stratégie proposée différent des différentes recommandations pour l’archivage du cloud précédemment exposées. D’une part, elle n’inclus pas directement des préconisations pour l’archivage, sa cible se situant en amont. Il est cependant probable (et souhaitable) que la labélisation proposée, ainsi que les mesures d’accompagnement, tiennent compte de cet aspect dans leurs critères.

La grande différence apparaît plutôt que cette stratégie propose non seulement des recommandations, mais également un plan d’action (il y a un planning) et, à travers divers tableaux, des critères de décision. A ce stade ces critères doivent encore être complétés et affinés mais ils forment déjà un cadre structurant dont la mise en pratique ne devrait pas poser trop de problème. Par ailleurs, la stratégie est soutenue par une vision, ce qui implique que les décisions ne sont pas laissées à la seule appréciation des différents services administratifs mais s’inscrivent dans un cadre qui, au fur et à mesure de l’avancement, deviendra plus ou moins normatif.

Il sera intéressant de voir ce que la consultation apportera comme amélioration à ce premier jet et je reviendrai donc vous en parler mi 2012.

A noter que le préposé fédéral à la protection des données et à la transparence a également publié en octobre 2011 une notice explicative sur les risques du cloud computing liés à la protection des données (http://www.edoeb.admin.ch/themen/00794/01124/01768/index.html?lang=fr).

A propos regarddejanus

Archiviste, Record-manager et enseignant
Cet article, publié dans Informatique en nuage - cloud computing, législation informatique, législation protection des données, logiciel, est tagué , . Ajoutez ce permalien à vos favoris.

Un commentaire pour Projet de stratégie de l’informatique en nuage des autorités suisses

  1. Ping : Archivage et cloud, suite … | Le regard de Janus

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s