Entre frais de licence, pièges à données et perte de souveraineté pour les administrations, le tabou du cloud est-il en train de tomber ?

Alors que les premières administrations commencent à miser sur les services cloud de prestataires internationaux, on pourrait penser à première vue que c’est là un signe de flexibilité, de modernité et de transition numérique. C’est que la perspective de la simplification des processus, de la baisse des frais de matériel informatique et d’accès plus rapide aux dernières versions des logiciels est alléchante. Mais derrière la façade se cachent des risques graves, tant pour la maîtrise des coûts que pour la protection des données et l’autodécision numérique.

De plus en plus d’articles, dont un papier du quotidien Les Échos , mettent en garde contre ce qui peut devenir un véritable « piège à données ». Entre les contrats opaques, les complexités de la dépendance technique et les disparités juridiques à l’international, il pourrait devenir impossible de protéger ses propres données et de les gérer sans regard étranger. Ainsi, le scénario d’un désastre informatique est presque préprogrammé.

Depuis des années déjà, les collectivités à toutes les échelles doivent moderniser leur écosystème informatique et mettre en place des services numériques pour les citoyens. Face aux serveurs dépassés, aux logiciels surannés et à la pénurie d’informaticiens qualifiés, les services cloud de grands prestataires internationaux peuvent sembler offrir une solution simple et rapide. Cependant, la réalité est bien souvent tout autre : après des débuts avec une solution qu’on pense de pointe, la dépendance s’installe et les gains d’efficacité escomptés laissent place à des coûts croissants difficiles à prévoir. De plus, bon nombre de pouvoirs publics continuent à utiliser des versions plus anciennes de leurs logiciels pour assurer la connectivité avec les applications spécialisées.

Le piège à données : dépendance et coûts incalculables
C’est souvent insidieusement que la charge financière progresse. Si les services cloud appâtent la clientèle en lui promettant des économies rapides sur la maintenance et les équipements informatiques, la pratique, elle, est bien souvent synonyme de frais supplémentaires conséquents, que ce soit pour des configurations de sécurité particulières, des besoins de stockage additionnels ou des frais de transfert de données. S’y ajoutent également les frais d’audit et de contrôle de conformité. Une solution qui, à l’origine, semblait économique se mue alors en véritable gouffre financier. Ces dernières années, le prix pour Azure et M365 a en partie bondi, allant même jusqu’à 40 % selon certains. Ces augmentations touchent durement les caisses publiques, puisqu’elles rendent difficile toute planification budgétaire.

Bien souvent, nul ne sait vraiment quels logiciels sont utilisés dans quelle administration et à quel prix. Il n’existe pas d’aperçus des programmes et des frais. Ce manque de transparence complique la planification budgétaire, la maîtrise des coûts et l’analyse de rentabilité.

Autre difficulté : l’incertitude juridique. Les données stockées dans le cloud de prestataires internationaux sont soumises à des lois telles que le Cloud Act, le Patriot Act ou FISA, qui peut permettre, sous certaines conditions, aux autorités américaines d’y accéder, souvent sans que la partie concernée en soit informée. C’est contraire aux normes strictes en matière de protection des données de l’UE, notamment au RGPD. Il existe certes une décision d’adéquation du cadre de protection des données UE-États-Unis, qui constitue la base du transfert de données transatlantique, mais qui sait s’il ne vacillera pas face aux juridictions européennes.

Toute dépendance vis-à-vis d’un prestataire externe limite également énormément le pouvoir d’autodécision numérique. Étendue des fonctionnalités, cycles de mises à jour, orientation stratégique des services : tout est décidé par le prestataire de services cloud. Si des modifications pertinentes pour la sécurité interviennent tardivement (ou pas du tout), les administrations sont paralysées. Les failles de sécurité graves des services cloud et une communication parfois déficiente montrent bien que la clientèle a peu de contrôle en cas de crise.

Autre risque : l’effet d’enfermement propriétaire. Une fois que les institutions se sont intégrées dans les méandres de l’infrastructure d’un grand prestataire de cloud, en ressortir devient très difficile, tant du point de vue technique que financier. Les interfaces propriétaires, les formats de données fermés et les frais de changements élevés représentent un frein à tout ajustement rapide. Bien souvent, les administrations réduisent également leur savoir-faire informatique en interne, ce qui ne fait que renforcer la dépendance.

Données administratives sensibles : des risques pour la sécurité et la protection des données
Des données fiscales et de sécurité sociale aux informations sur la santé en passant par les dossiers d’enquête policière : les administrations gèrent une multitude de données très sensibles. Si celles-ci sont compromises par la situation juridique internationale, par des failles de sécurité ou encore par des architectures système manquantes, les conséquences peuvent être graves et aller d’une perte de confiance dans les institutions publiques aux menaces pour la sécurité nationale.

À toutes ces problématiques s’ajoutent également les pratiques des grands prestataires, qui tendent à dominer le marché. Leur habitude de proposer les produits sous forme de « packs » fait que les clients sont moins enclins à se tourner vers des alternatives. La compétition s’effrite, ce qui a un impact sur le choix, l’efficacité et la flexibilité du secteur public.

L’alternative : la diversité au service de la souveraineté
Face à ces risques, les décideurs du secteur public feraient bien de repenser leurs stratégies informatiques dans l’optique de maîtriser à la fois les données et l’infrastructure.

• Les solutions installées sur site représentent un aspect central de cette démarche. En effet, elles permettent de maintenir les systèmes et les données dans son propre centre de données et de cibler les mesures de sécurité. En cas d’urgence, il est alors possible de restaurer plus rapidement les services sans avoir à faire appel à des prestataires externes.
• Les modèles hybrides, quant à eux, combinent les systèmes locaux et des services cloud sélectionnés. Cette autre solution permet de garder le contrôle sur les données sensibles tout en profitant des possibilités d’évolutivité des applications moins critiques. Ce modèle équilibré marie flexibilité et haut niveau de sécurité.
• Enfin, une gestion moderne des licences joue est elle aussi décisive. Les stratégies du type « bring your own license » (BYOL) et l’utilisation de logiciels d’occasion vérifiés permettent de réduire les coûts de manière conséquente tout en préservant la souveraineté numérique.

Résumé : la souveraineté numérique, pilier de toute administration moderne
La tendance des administrations à utiliser des services cloud internationaux peut sembler être une avancée, et pourtant, les risques sont de taille. La perte de souveraineté, l’incertitude juridique et les frais élevés sont loin d’être des détails. Ce sont même des problématiques clés pour toute administration tournée vers l’avenir.

Andreas E. Thyen, Président du conseil d’administration de LizenzDirekt, résume parfaitement la situation : « Se précipiter vers un cloud (géré par des acteurs privés) sans réflexion préalable aura forcément un effet boomerang, que ce soit du point de vue des finances, de la protection des données ou de la politique sécuritaire. »

Pour tous ceux qui ne veulent pas renoncer intégralement au cloud, il est essentiel de mettre en place une stratégie claire : quelles sont les données qui ne doivent pas quitter le centre des données ? Dans quelle mesure une démarche hybride contrôlée est-elle possible ?

Seuls les plans informatiques axés sur la souveraineté et l’indépendance, respectueux des normes nationales et à même de préserver le contrôle des données sensibles garantissent une administration fiable, sûre et moderne – la condition sine qua non pour que les citoyens aient confiance en l’État numérique.