Question n°479 : Clouds externes non étatiques

Question écrite n° 479 :
Clouds externes non étatiques

17^e Législature

Publication de la question au Journal Officiel du 8 octobre 2024, page 5121
Publication de la réponse au Journal Officiel du 22 avril 2025, page 2895

Question de : M. Olivier Faure
Seine-et-Marne (11^e circonscription) - Socialistes et apparentés

M. Olivier Faure interroge M. le ministre de l'économie, des finances et de l'industrie sur l'utilisation des clouds externes non étatiques par les institutions françaises, en particulier celles identifiées en tant qu'organismes d'importance vitale (OIV), traitant les données sensibles du pays. Les expérimentations en cours au sein d'institutions majeures telles que la Banque de France, l'Autorité de contrôle prudentiel et de résolution (ACPR) et la Caisse des dépôts et consignations, utilisant des services SaaS ou PaaS dans des clouds appartenant à des entreprises privées non européennes, semblent en contradiction avec la note DINUM-DIR-210901, soulignant le non-respect de la réglementation de la loi de programmation militaire (LPM). Ce choix pris en dépit des recommandations de la direction du numérique, de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) et du Système européen de banques centrales (SEBC), suscite des préoccupations, notamment en ce qui concerne la sécurité des données, la souveraineté numérique et la dépendance financière envers les fournisseurs de solutions. L'adoption généralisée de services tels qu'Office 365 dans des institutions clés et chez les partenaires européens de la France, bien qu'elle facilite la communication et la collaboration, suscite des inquiétudes quant à la sécurité des données et à la dépendance envers un fournisseur étranger. La migration vers de telles plateformes pourrait compromettre la souveraineté numérique et accroître le risque de fuite d'informations sensibles dans un contexte actuel d'espionnage étatique. Aussi il souhaiterait savoir si le Gouvernement a validé l'externalisation de ses données, gérées par les institutions partenaires, dans des clouds non étatiques, en dépit des risques et enjeux soulevés. Il souhaite de la même manière connaître sa position concernant l'utilisation généralisée d'Office 365 dans des institutions clés.

Réponse publiée le 22 avril 2025

La loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique, ainsi que la circulaire de la Première ministre d'actualisation de la doctrine d'utilisation de l'informatique en nuage de l'État dite « Cloud au centre » du 31 mai 2023, préparée par la direction interministérielle du numérique-DINUM, prévoient que l'hébergement des données les plus sensibles de l'administration et de ses opérateurs doit être assuré par le recours à un service qualifié. Si cette obligation ne s'applique qu'à l'administration et à ses opérateurs, l'ANSSI accompagne néanmoins les entités, et notamment les opérateurs d'importance vitale, publics et privés, dans l'amélioration continue de leur niveau de sécurité numérique. A ce titre, et face au recours croissant par les administrations et les entreprises à l'hébergement distant de leurs données et à des services en ligne, l'ANSSI a publié en 2024 des recommandations pour l'hébergement des systèmes d'information sensibles dans le cloud. Il est ainsi précisé, en fonction du type de système d'information, de la sensibilité des données et du niveau de la menace, les types d'offres cloud à privilégier, notamment les offres qualifiées SecNumCloud par l'ANSSI. Ces recommandations constituent un outil d'aide à la décision pour les entités qui envisagent un hébergement cloud de leurs systèmes d'information offrant un niveau de protection de la confidentialité des données de niveau Diffusion Restreinte, des systèmes d'information sensibles des opérateurs d'importance vitale et des opérateurs de services essentiels, ainsi que des systèmes d'information d'importance vitale. Il est ainsi recommandé de mener une analyse de l'ensemble des risques à prévenir ainsi qu'une étude des effets, préalablement à un projet de migration vers un environnement cloud. Ces recommandations, qui ne s'appliquent pas aux systèmes d'information classifiés qui relèvent d'une autre réglementation sont cohérentes avec la doctrine « Cloud au centre » de l'Etat. Enfin, dans le cadre de ses missions d'assistance technique, l'ANSSI accompagne techniquement les entités, notamment les OIV, dans leurs projets de migration vers des hébergements cloud.

Télécharger le format pdf

Données clés

Auteur : M. Olivier Faure

Type de question : Question écrite

Rubrique : Numérique

Ministère interrogé : Économie, finances et industrie

Ministère répondant : Premier ministre

Dates :
Question publiée le 8 octobre 2024
Réponse publiée le 22 avril 2025