Le Cigref publie son référentiel du Cloud de confiance (V1)

27 mai 2021 | ACTUALITÉS, Communiqués, Publications du Cigref

Le 17 mai 2021, le Gouvernement français a dévoilé sa stratégie nationale pour le cloud. Bruno Le Maire, Amélie de Montchalin et Cédric O ont présenté les trois axes suivant lesquels cette stratégie doit s’articuler. À l’occasion de la présentation de cette stratégie, le Président du Cigref, Bernard Duverneuil, est revenu sur l’engagement du Cigref depuis deux ans et demi pour faire émerger la doctrine du Cloud de confiance et mettre en cohérence les besoins des entreprises et des administrations publiques, notamment en publiant un référentiel du Cloud de confiance, ayant pour ambition d’inspirer les différents travaux en la matière, tant au niveau national qu’européen.

Nous vous invitons à nous faire part de vos commentaires et remarques afin d’enrichir ce référentiel d’ici le 15 juin 2021. Nous établirons une version consolidée avec les différents retours, que nous partagerons en juin.

Le Cigref remercie chaleureusement le pilote du Groupe de travail Vincent Niebel, Directeur des Système d’Information du groupe EDF, les participants des 40 entreprises présentes lors des sessions du Groupe de travail, avec le support de l’équipe Magellan Consulting.

Participer à la construction d’offres à l’état de l’art, économiquement accessibles et conformes au label Cloud de confiance

Si nous avons franchi une étape importante avec l’annonce de cette stratégie nationale pour le cloud, le plus compliqué reste à faire, et d’abord la construction d’offres à l’état de l’art, économiquement accessibles et conformes au label Cloud de confiance. La filière industrielle s’y prépare et plusieurs acteurs devraient faire des annonces substantielles dans ce sens à court terme. Le Cigref lui-même va continuer à se mobiliser pour expliciter le besoin de ses adhérents, publics et privés, notamment avec ce référentiel du Cloud de confiance, dont l’ambition est d’inspirer les différents travaux en la matière, tant au niveau national qu’européen.

Présentation du référentiel Cloud de confiance du Cigref

Le référentiel Cloud de confiance du Cigref se décline en trois piliers : la sécurité, l’immunité aux législations extra-européennes et la maîtrise de la dépendance des utilisateurs vis-à-vis de leurs fournisseurs de solutions et services de cloud.

En travaillant collectivement autour de ces trois piliers, les membres du Cigref ont donc dressé une liste d’exigences permettant aux fournisseurs cloud de démontrer leur capacité à se conformer au Cloud de confiance. Ces dernières proviennent de plusieurs référentiels, à la fois français et européens (SWIPO, SecNumCloud, GAIA-X, EU Cloud CoC), auxquels s’ajoutent des exigences d’immunité juridique et géopolitique. Les exigences imposées aux fournisseurs cloud sont à la fois opérationnelles et contractuelles. Ainsi, toute exigence opérationnelle doit être également contractuellement exigible.

Pour une lecture simplifiée du référentiel, et dans un objectif de définition d’un socle minimal et d’une cible complète, ces exigences ont été divisées selon deux niveaux :

  • Un premier niveau de confiance assurant un « Safe Cloud » : ce niveau traduit une exigence de sécurité informatique élevée et une transparence des règles juridiques applicables et des dépendances potentielles afin que le client soit parfaitement informé ;
  • Un niveau supérieur de confiance assurant un « Trusted Cloud » : ce niveau, cumulant ses exigences avec celles du premier niveau, vise une sécurité élevée, une immunité aux lois extra-européennes ainsi qu’une maîtrise forte du niveau de dépendance.

Il est essentiel de rappeler que ce référentiel n’est ni un label, ni une certification, le Cigref n’ayant pas vocation à être opérateur d’un tel dispositif. Il appartient aux organismes qui le souhaitent de se saisir de ce dernier, lequel présente le besoin des utilisateurs, pour l’adapter aux modalités d’une démarche de labellisation ou de certification de solutions et services de Cloud de confiance. Par ailleurs, les utilisateurs de ces solutions et services pourront s’en inspirer pour enrichir leurs démarches contractuelles avec leurs fournisseurs.

Cloud de confiance & référentiel : objectifs

Un Cloud de confiance est un cloud qui, en plus de proposer des services, IaaS et SaaS (a minima), respectant des exigences techniques, technologiques, de contrôle, de sécurité, de réversibilité, de portabilité, d’interopérabilité et de transparence imposées par le marché et les pouvoirs publics, permet également de se protéger :

  • Des risques juridiques liés à l’application de lois extra-européennes à des clients, français et européens, d’opérateurs de services cloud ;
  • De l’impact d’une crise géopolitique sur l’activité des clients d’opérateurs de services cloud.

Ainsi, le référentiel Cloud de confiance répond à plusieurs objectifs :

  • Clarifier le code de conduite entre le fournisseur de services cloud (CSP) et le client de services cloud (CSC).
  • Lister toutes les exigences IT (sécurité, réversibilité, interopérabilité, portabilité), et intégrer toutes les exigences transverses (juridique, géopolitique) qui sont indispensables à un Cloud de confiance.
  • Solliciter les acteurs du marché cloud, principalement les membres du Cigref ayant recours à des services cloud, quant aux exigences nécessaires et suffisantes pour un référentiel garantissant un niveau maximal de confiance dans le cloud.

Migration dans le cloud : point d’étape

Après deux années de travaux sur la migration vers le cloud, de 2020 à 2022, le Cigref avait marqué une pause sur ce sujet. L'objectif de cette interruption était de permettre aux organisations de poursuivre leur programme de migration et de recueillir, l'année...

Rapport d’orientation stratégique 2024 du Cigref : « 5 ambitions : que faire d’ici 2040 ? »

A l’occasion de sa 54ème Assemblée générale, le Cigref a dévoilé l’édition 2024 de son Rapport d’orientation stratégique, « 5 ambitions : que faire d’ici 2040 ? ». « Nous avons pris un angle radicalement différent des précédentes années : nous nous sommes attachés à...

Nomenclature des profils métiers du SI – version 2024

Le Cigref maintient, depuis 1991, une Nomenclature des profils métiers existants dans les Directions du Numérique des entreprises membres du Cigref. Cet outil ne présente pas ce que « doivent » être ou ce que « seront » les métiers des SI mais ce qu’ils sont...

Assemblée générale 2024 du Cigref : « Pensez global ! »

Le 16 octobre 2024, le Cigref a organisé au Pavillon Gabriel sa 54ème Assemblée générale en mettant en lumière auprès de ses membres et de ses invités les dynamiques globales qui traversent le numérique et ses enjeux business. Une soirée animée par les interventions...