Stratégie

Souveraineté : la Cour des comptes pointe la faiblesse des cloud ministériels, Nubo et Pi

Dans son rapport, la Cour des comptes émet cinq recommandations et appelle la Dinum et l’Anssi à s’en saisir. (Photo : D.R.)

Pour la Cour des comptes, pour préserver un peu d'indépendance numérique, la France doit se concentrer sur la maîtrise des données sensibles. La juridiction s'inquiète du développement poussif des cloud de Bercy et de l'Intérieur.

PublicitéLe sujet de la souveraineté monte en puissance en France et en Europe, et la Cour des comptes vient apporter son tribut au débat en publiant un rapport sur « Les enjeux de souveraineté des systèmes d'informations civils de l'Etat ». Dans ce document, la juridiction administrative et financière dresse un constat mitigé sur la doctrine et la stratégie de l'Etat en la matière. En préambule, elle constate que la France, mais plus globalement l'Europe, a perdu la bataille sur les matériels et logiciels. A ceci s'ajoute les inquiétudes autour de « la grande opacité » des lois extraterritoriales (Cloud Act, section 702 du FISA...).

Seul axe pour garantir une vraie souveraineté numérique, la maîtrise des données sensibles, qui doit notamment déboucher sur le développement des offres cloud nationales. La Cour des comptes salue la doctrine cloud au centre, de juillet 2021, mais constate que les évolutions ont limité les exigences de protection des données. Sur la partie cloud, les juges regrettent l'absence de convergence des deux cloud ministériels existants (Nubo pour le ministère des Finances et Pi pour le ministère de l'Intérieur). Ils « restent peu utilisés, non seulement par les services des ministères qui les ont créés, mais aussi par les autres administrations ». Et d'ajouter, « la gamme des services offerts demeure limitée (en termes de disponibilité, d'expérience utilisateur ou de capacité à recourir à l'intelligence artificielle) et leur tarification apparaît inadaptée ».

Données sensibles à géométrie variable

Un problème de cohérence est également soulevé par la Cour des comptes sur la définition de la sensibilité des données. Ainsi, elle cite l'exemple du SIRH Virtuo du ministère de l'Education nationale qui est opéré en mode cloud par une entreprise appartenant à un groupe américain. Le ministère a estimé que les données traitées ne rentraient pas dans les obligations nécessitant un cloud de confiance.

Autre exemple, « le portail public chargé de la généralisation de la facturation électronique, porté par le ministère des Finances, est hébergé dans un environnement souverain. En revanche, tel n'est pas encore le cas de la plateforme d'achat public ». Bien évidemment, il y a aussi le cas emblématique du Health Data Hub, qui a retenu Azure de Microsoft comme plateforme d'hébergement de ses données médicales.

La Dinum et l'Anssi appelées à agir

Fort de ces constats, la Cour des comptes émet cinq recommandations à l'attention de l'Etat. Elle souhaite que la Dinum (Direction interministérielle du numérique) mette en place en 2026 - avec les ministères - un calendrier de déploiement d'outils de bureautique et de communication respectant la souveraineté des données. Elle devra par ailleurs s'atteler à la convergence des cloud ministériels et s'assurer de la souveraineté des hébergeurs de données de santé en rapprochant la certification de ces derniers de la qualification SecNumCloud de l'Anssi.

PublicitéL'Agence de la sécurité des systèmes d'information est également mise à contribution pour réaliser l'année prochaine une cartographie de l'ensemble des données sensibles à héberger de manière souveraine. L'objectif de l'ensemble de ces propositions est d'asseoir une stratégie plus lisible et efficace en matière d'autonomie numérique de l'Etat.