tags : #area/watch #cloud #etatique #souveraineté
source :https://www.legifrance.gouv.fr/download/file/pdf/cir_45446/CIRC
date : 2023-06-09
IaaS et PaaS = "cloud pour les équipes informatiques"
SaaS = "cloud pour les utilisateurs"
Clouds internes dit aussi "cercle 1"
l'armée est à part.
Les 2 s'appuient sur OpenStack (sans orchestrateur) et sont des offres jugées acceptables mais loin des leaders commerciaux
Les 2 s'appuient sur OpenStack (sans orchestrateur) et sont des offres jugées acceptables mais loin des leaders commerciaux
DINUM a engagé la constitution d'une offre de services numériques interministériels, [..] construite sur des plateformes cloud laaS et PaaS internes et commerciales. Cette suite collaborative interministérielle comporte déjà plusieurs services collaboratifs (messagerie
instantanée Tchap, messagerie collaborative de l'État, services collaboratifs Resana et
Osmose, plateforme d'audioconférence Audioconf, webconférence)
Focaliser l'attention et les efforts sur i'accompagnement des métiers et des équipes de développement de produits numériques au sein de l'État, afin d'adapter les processus et le:s compétences des acteurs au potentiel du cloud et aux points d'attention propres à ces offres. [...] ]'orienter le flux de nouveaux projets vers le cloud, plutôt que de focaliser l'attention sur le stock en continuant à construire de nouveaux projets avec les méthodes du xxe siècle.
[R1] : Pour tout nouveau projet numérique, quelle que soit sa taille, une solution cloud
doit être recherchée : d'abord en SaaS ensuite en IaaS/PaaS
[R4] Tout projet relevant d'offres cloud commerciales devra comporter des conditions
de fin de contrat et de réversibilitésoutenables pour son administration, ·et
provisionner les ressources financières, techniques et humaines correspondantes dès
le lancement du projet,
[RS] Tout projet numérique ayant recours au cloud doit respecter les meilleures
pratiques en matière de résilience, et reposer a minima sur des services déployés dans
plusieurs zones géographiques pour assurer, selon le niveau de criticité, la continuité
où la reprise d'activité dans les meilleures conditions. L'offre cloud mobilisée doit offrir
des garanties satisfaisantes en matière de mise à jour de ses composants pouvant être
affectés par des failles de sécurité ainsi que de transparence et de réactivité en cas de
compromission. En outre, lorsqu'elle envisage de retenir une offre cloud commerciale,
l'administration doit prendre les mesures nécessaires de détection et d'isolation liées
à la prévention de la propagation d'une compromission de sécurité.*
[R9] lorsque les données sont localisées dans l'Union,
conformément aux articles.28 et 48 du RGPD, ces données doivent être immunisées
contre toute demande d'autorité publique d'Etats tiers Judiciaire ou administrative
en dehors d'un accord international en vigueur entre le pays tiers demandeur et
l'Union ou un État membre
[R10] La portabilité multi-clouds doit être assurée. A cette fin, les équipes
informatiques s'assureront que les adhérences techniques et fonctionnelles à la
plateforme cloud retenue n'entravent pas notablement .cette capacité de réversibilité
et de changement de fournisseur de cloud. Dans le cas où cette adhérence est
néanmoins légitimée par des gains opérationnels immédiats, le surcoût de la
réversibilité doit être financé par ces gains.
[R13] Les administrations ne doivent pas chercher à créer et maintenir de nouveaux
logiciels sur mesure qui trouvent déjà leur équivalent dans les sphères publique ou
privée ou parmi les communs numériques contributifs (logiciels libres et plateformes
de services collaboratifs libres et ouverts, par exemple). Elles doivent répondre aux
besoins de leurs agents et des citoyens en privilégiant les solutions disponibles, soit en
y recourant sous forme de souscription de logiciel à la demande (offres Saas
commerciales), S?it en intégrant, adaptant et déployant ces solutions s1.,1r le cloud
interne de l'État (offres Saas internes). En l'absence de solutions sur étagère, elles
peuvent engager un développement sur mesure limité au périmètre spécifique en
question.