Le Cigref publie son référentiel du Cloud de confiance (V1)

27 mai 2021 | ACTUALITÉS, Communiqués, Publications du Cigref

Le 17 mai 2021, le Gouvernement français a dévoilé sa stratégie nationale pour le cloud. Bruno Le Maire, Amélie de Montchalin et Cédric O ont présenté les trois axes suivant lesquels cette stratégie doit s’articuler. À l’occasion de la présentation de cette stratégie, le Président du Cigref, Bernard Duverneuil, est revenu sur l’engagement du Cigref depuis deux ans et demi pour faire émerger la doctrine du Cloud de confiance et mettre en cohérence les besoins des entreprises et des administrations publiques, notamment en publiant un référentiel du Cloud de confiance, ayant pour ambition d’inspirer les différents travaux en la matière, tant au niveau national qu’européen.

Nous vous invitons à nous faire part de vos commentaires et remarques afin d’enrichir ce référentiel d’ici le 15 juin 2021. Nous établirons une version consolidée avec les différents retours, que nous partagerons en juin.

Le Cigref remercie chaleureusement le pilote du Groupe de travail Vincent Niebel, Directeur des Système d’Information du groupe EDF, les participants des 40 entreprises présentes lors des sessions du Groupe de travail, avec le support de l’équipe Magellan Consulting.

Participer à la construction d’offres à l’état de l’art, économiquement accessibles et conformes au label Cloud de confiance

Si nous avons franchi une étape importante avec l’annonce de cette stratégie nationale pour le cloud, le plus compliqué reste à faire, et d’abord la construction d’offres à l’état de l’art, économiquement accessibles et conformes au label Cloud de confiance. La filière industrielle s’y prépare et plusieurs acteurs devraient faire des annonces substantielles dans ce sens à court terme. Le Cigref lui-même va continuer à se mobiliser pour expliciter le besoin de ses adhérents, publics et privés, notamment avec ce référentiel du Cloud de confiance, dont l’ambition est d’inspirer les différents travaux en la matière, tant au niveau national qu’européen.

Présentation du référentiel Cloud de confiance du Cigref

Le référentiel Cloud de confiance du Cigref se décline en trois piliers : la sécurité, l’immunité aux législations extra-européennes et la maîtrise de la dépendance des utilisateurs vis-à-vis de leurs fournisseurs de solutions et services de cloud.

En travaillant collectivement autour de ces trois piliers, les membres du Cigref ont donc dressé une liste d’exigences permettant aux fournisseurs cloud de démontrer leur capacité à se conformer au Cloud de confiance. Ces dernières proviennent de plusieurs référentiels, à la fois français et européens (SWIPO, SecNumCloud, GAIA-X, EU Cloud CoC), auxquels s’ajoutent des exigences d’immunité juridique et géopolitique. Les exigences imposées aux fournisseurs cloud sont à la fois opérationnelles et contractuelles. Ainsi, toute exigence opérationnelle doit être également contractuellement exigible.

Pour une lecture simplifiée du référentiel, et dans un objectif de définition d’un socle minimal et d’une cible complète, ces exigences ont été divisées selon deux niveaux :

  • Un premier niveau de confiance assurant un « Safe Cloud » : ce niveau traduit une exigence de sécurité informatique élevée et une transparence des règles juridiques applicables et des dépendances potentielles afin que le client soit parfaitement informé ;
  • Un niveau supérieur de confiance assurant un « Trusted Cloud » : ce niveau, cumulant ses exigences avec celles du premier niveau, vise une sécurité élevée, une immunité aux lois extra-européennes ainsi qu’une maîtrise forte du niveau de dépendance.

Il est essentiel de rappeler que ce référentiel n’est ni un label, ni une certification, le Cigref n’ayant pas vocation à être opérateur d’un tel dispositif. Il appartient aux organismes qui le souhaitent de se saisir de ce dernier, lequel présente le besoin des utilisateurs, pour l’adapter aux modalités d’une démarche de labellisation ou de certification de solutions et services de Cloud de confiance. Par ailleurs, les utilisateurs de ces solutions et services pourront s’en inspirer pour enrichir leurs démarches contractuelles avec leurs fournisseurs.

Cloud de confiance & référentiel : objectifs

Un Cloud de confiance est un cloud qui, en plus de proposer des services, IaaS et SaaS (a minima), respectant des exigences techniques, technologiques, de contrôle, de sécurité, de réversibilité, de portabilité, d’interopérabilité et de transparence imposées par le marché et les pouvoirs publics, permet également de se protéger :

  • Des risques juridiques liés à l’application de lois extra-européennes à des clients, français et européens, d’opérateurs de services cloud ;
  • De l’impact d’une crise géopolitique sur l’activité des clients d’opérateurs de services cloud.

Ainsi, le référentiel Cloud de confiance répond à plusieurs objectifs :

  • Clarifier le code de conduite entre le fournisseur de services cloud (CSP) et le client de services cloud (CSC).
  • Lister toutes les exigences IT (sécurité, réversibilité, interopérabilité, portabilité), et intégrer toutes les exigences transverses (juridique, géopolitique) qui sont indispensables à un Cloud de confiance.
  • Solliciter les acteurs du marché cloud, principalement les membres du Cigref ayant recours à des services cloud, quant aux exigences nécessaires et suffisantes pour un référentiel garantissant un niveau maximal de confiance dans le cloud.

Première édition des cahiers des Rencontres Numériques de Strasbourg – Édition 2024

Lors de la première édition des Rencontres Numériques de Strasbourg, nous avons réussi le pari de rassembler dans l’enceinte du Parlement européen, en plein mois de mars, près de 150 dirigeants du secteur numérique français pour un événement inédit de deux jours et...

Cahier des charges technique à intégrer dans l’appel d’offre cloud de confiance

Un certain nombre de membres du Cigref envisagent de lancer un appel d'offres pour des solutions de cloud de confiance. C'est pourquoi les membres du groupe de travail « cloud de confiance » ont décidé d'œuvrer collectivement à la rédaction de la partie technique d'un...

Métiers du numérique : sens et appétence – Recommandations pour orienter les cursus de formation au numérique

Alors que l’écosystème numérique est le plus demandeur de professionnels formés pour ses métiers, les organismes d’enseignement et de formation qui délivrent les connaissances et suscitent les talents sont souvent vus comme de simples éléments du secteur de la...