A présent que le nuage public ne sera pas créé via une adjudication externe, mais bien en interne, les conditions de sécurité seront également différentes. Entre-temps, les premiers services sont disponibles pour les pouvoirs publics.
Le cahier des charges pour ce qu’on appelle le G-cloud n’avait pas été adjugé durant la précédente législature, ce qui fait que quelques institutions publiques, Fedict, Smals et le SPF Finances ont mis en oeuvre de leur propre initiative un G-cloud interne.
Suite à une demande parlementaire posée par Peter Dedecker (N-VA) au ministre en charge de l’Agenda Numérique Alexander De Croo (Open VLD), il apparaît que ce nuage interne se verra imposer des conditions moins strictes que mentionné dans l’adjudication publique et ce, même si cela ne signifie pas que la barre ait été placée plus bas.
C’est ainsi qu’il ne faudra pas de second ‘standby cloudprovider’ indépendant pour la reprise après sinistre (disaster recovery). De même, il n’y aura pas de certification et d’organisation pour la plate-forme IaaS. Il en sera ainsi aussi du besoin d’une sécurité supplémentaire au moyen d’une couche réseautique virtuelle. L’exigence d’un hébergement dans un centre de données du fournisseur disparaîtra également, ce qui est plutôt logique, puisque les données stockées dans le G-cloud interne ne se trouveront par définition pas chez un fournisseur externe.
De Croo ajoute que les exigences dans l’adjudication sont plus strictes, parce qu’il s’agit de partenaires externes. C’est moins pertinent aujourd’hui, étant donné que le G-cloud sera hébergé dans les centres de données gouvernementaux, où les règles de sécurité existantes seront considérées comme la norme. La cellule de sécurité du ‘cloud governance board’ (composée de CIO de quelques services publics et de Smals et Fedict) pourront cependant imposer des exigences plus rigoureuses si besoin est.
Dedecker n’est pas ravi de la situation: “Tout comme un centre de données privé sépare strictement les différents clients sur chaque plan, nous devons faire de même pour les services publics, afin d’éviter qu’une fuite ou une effraction dans un service ne se propage à l’ensemble. Il s’agit en effet ici d’informations particulièrement sensibles, à savoir des données personnelles de tous les citoyens.” Dedecker n’accepte pas non plus le fait que des audits externes indépendants ne soient pas prévus et ce, même si cela pourrait être possible en cas de nécessité.
Pas de laxisme
Mais cela signifie-t-il que les données stockées dans le G-cloud seront moins sécurisées que si elles l’étaient chez d’autres fournisseurs cloud ou banques de données publiques? Probablement pas. C’est ainsi que les règles pour les partenaires externes sont assez souvent plus strictes du fait que les pouvoirs publics y ont moins à dire. Quiconque s’associera demain avec un centre de données belge qui est racheté le jour suivant, voudra encore et toujours que ses données demeurent sécurisées et accessibles.
Concrètement, l’absence d’un fournisseur de sauvegarde par exemple ne signifie pas que les données du G-cloud soient stockées de manière unique. De même la certification de la plate-forme IaaS revêt une importance moindre du fait que l’on peut estimer qu’un nuage mis en oeuvre par les pouvoirs publics satisfait aux besoins de ces derniers. Au niveau de la répartition des données entre les différents services publics, nous apprenons aussi à la rédaction que cela se passe aujourd’hui déjà.
Chez Smals, l’on insiste en outre sur le fait que l’objectif n’est pas de traiter de manière laxiste le G-cloud. “Avec la sécurité sociale notamment, nous avons déjà acquis plus de dix années d’expérience en matière de protection des données personnelles”, déclare son porte-parole, Jan-Frans Lemmens. “Nous y respectons les règles. Ce sont là les meilleures pratiques du secteur. L’allusion d’une sécurité moindre du fait que cela se passe en interne, ne tient pas la route.”
Il y a un an et demi, le G-cloud semblait encore être relégué au frigo, mais aujourd’hui, une première offre est disponible. C’est ainsi que dans sa réponse, Alexander De Croo a aussi annoncé que les institutions publiques qui le veulent, pourront échanger leur infrastructure existante contre un environnement virtuel, où elles gèreront elles-mêmes les machines virtuelles. Une offre SaaS-aanbod est aujourd’hui aussi disponible.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici