Utilisation du cloud dans l’administration publique : quels sont les points à prendre en compte ?

Date
12.04.2021

La technologie cloud en devenue incontournable en informatique. Toutefois, le recours à des environnements basés sur le cloud et le basculement de ses propres services vers des environnements cloud suscitent des inquiétudes justifiées.

De par leur principe, les environnements informatiques basés sur le cloud se caractérisent, d’une part, par l’utilisation de protocoles et de formats de données hautement standardisés et, d’autre part, par le fait que l’exploitant de ces systèmes ne se trouve plus nécessairement sur site. Les grands prestataires externes, tels que Microsoft, Apple, Amazon, Google, etc., mais aussi les fournisseurs de petite et de moyenne taille, sont aujourd’hui capables, en fonction des exigences des clients, de proposer de tels services en externe avec les accords de niveau de service et de sécurité correspondants. Dans le cadre de ce catalogue de prestations, les clients peuvent alors acquérir des services informatiques standardisés qui vont de la fourniture de matériel informatique virtuel à l’exploitation de systèmes applicatif complets ; selon leurs caractéristique, dans des environnements cloud publics ou exploités spécifiquement pour le client ou sous des formes hybrides personnalisées.

Pour les clients, cela peut apporter une plus grande flexibilité dans les frais fixes d’exploitation, la participation aux « économies d’échelle » du fournisseur et la libération de capacités internes pour se concentrer sur leur cœur de métier. Pour les fournisseurs, les avantages par rapport à la simple vente de licences logicielles résident principalement dans une plus grande fidélisation des clients. D’un autre côté, cela entraîne de nouveaux risques pour le client, qu’il s’agisse de la clarification de la situation juridique en cas d’accès aux données par des tiers en Suisse ou à l’étranger, de l’évaluation des risques de dépendance vis-à-vis du fournisseur de services cloud concerné ou des inquiétudes en matière de sécurité de l’information et de disponibilité en cas de crise. 

Examiner avec soins les conditions-cadres
Compte tenu de la domination du marché par la technologie cloud, l’administration publique doit également évaluer les formes d’utilisation du cloud à prévoir à l’avenir. L’exigence de digitalisation de ses propres services vis-à-vis des citoyens (stratégie, lois, etc.) au niveau cantonal et fédéral, les exigences de « données ouvertes » en vertu du principe de transparence, les demandes croissantes de mise en réseau électronique des autorités et la mise à disposition actuelle ou prévue de services électroniques centraux (e-ID, dossier électronique du patient, vote électronique, etc.) jouent ici un rôle essentiel. Cependant, avant la migration technique des services de l’administration publique, diverses questions en suspens (en fonction de la situation de départ dans chaque département) doivent être éclaircies, et en particulier :

  • Quels sont les applications qui bénéficient fortement du recours à la technologie cloud et de ses avantages ?
  • Les applications et les topologies sont-elles « cloud ready » ?
  • Comment réduire la dépendance à l’égard des grands fournisseurs de services cloud ?
  • Comment maîtriser la complexité accrue ?
  • Quel est le bon moment pour basculer ?
  • Le cloud est-il automatiquement synonyme de délocalisation (et où) ?
  • Quelles questions juridiques et relatives à la protection des données se posent et est-il possible de vraiment y répondre ou d’y répondre « suffisamment clairement » ?
  • Quels nouveaux risques apparaissent ou quels sont les risques accrus, et quelles sont les contre-mesures possibles et réalisables ?
  • Quels sont les mesures à examiner, préparer et mettre en œuvre et dans quel ordre ?
  • Quelles procédures, quels processus, etc. changent en interne, et comment (ampleur) ?
  • Combien coûtent le projet, le basculement et l’exploitation ultérieure ?
Pour pouvoir répondre à ces questions de manière suffisamment approfondie, il est judicieux et nécessaire, même dans l’administration publique, de définir les bases juridiques, organisationnelles, économiques et techniques nécessaires dans le cadre de projets pilotes limités et bien contrôlés. Bedag Informatique SA suggère notamment, par exemple, de recourir à l’environnement cloud Microsoft « Azure » (mise à l’échelle, authentification forte, etc.), mais aussi la mise à disposition de capacités de calcul supplémentaires en cas de besoin (solution pour élection et votation BEWAS) ou la configuration, le contrôle et la gestion centralisés de services cloud orchestrés complexes (« proof of concept » Kubernetes). Il faut également garder à l’esprit que les administrations publiques, contrairement, par exemple, à un shop de biens de consommation ont des pics de performance beaucoup plus faibles et que les approches de cloud privé peuvent donc être très rentables.


Néanmoins, même en cas de succès de ces essais pilotes, des incertitudes décisionnelles subsisteront. Il n’y a pas ici (comme c’est généralement le cas) de décision « oui/non » tranchée mais seulement une orientation vers la définition et la mise en œuvre d’une solution appropriée. À long terme, la technologie cloud (privé, hybride, public) est (presque) incontournable mais la marge de manœuvre est importante en ce qui concerne la mise en œuvre, l’introduction et l’exploitation. La question n’est donc pas de savoir s’il faut s’intéresser ou non au cloud et il ne s’agit pas non plus d’une décision « tout ou rien ». Il n’y a pas non plus de raison de s’imposer des contraintes de temps et de compromettre ainsi la qualité de l’évaluation. Il y a une certaine contrainte de temps pour les premiers étapes mais pas (encore) plus.

Um diese Fragen in ausreichender Tiefe beantworten zu können, ist es sinnvoll und notwendig, auch in der öffentlichen Verwaltung im Rahmen begrenzter und gut kontrollierter Pilotvorhaben die rechtlichen, organisatorischen, wirtschaftlichen und technischen Grundlagen zur Beantwortung dieser Fragen zu legen. Beispiele aus Sicht der Bedag Informatik AG sind u. a. der Einsatz der Microsoft-Cloud-Umgebung «Azure» (Skalierung, starke Benutzer-Authentisierung usw.), aber auch die Bereitstellung zusätzlicher Rechenkapazität bei Bedarf (Wahl- und Abstimmungslösung BEWAS) oder die zentrale Konfiguration, Kontrolle und Verwaltung komplex orchestrierter Cloud-Dienste (Kubernetes «Proof of Concept»). Zu bedenken gilt es auch, dass öffentliche Verwaltungen, im Gegensatz zu beispielsweise einem Konsumgütershop, viel geringere Leistungsspitzen aufweisen und deswegen private Cloud-Ansätze durchaus sehr wirtschaftlich sein können.

Dennoch werden auch nach solchen erfolgreichen Pilotversuchen Entscheidungsunsicherheiten verbleiben. Hierbei gibt es (wie meistens) keine klaren «Ja/Nein»-Entscheide, sondern nur den Weg der Definition und Umsetzung einer angemessenen Lösung. An der Cloud-Technologie (private, hybrid, public) führt dabei längerfristig (fast) kein Weg vorbei, aber bei Umsetzung, Einführung und Betrieb gibt es grossen Spielraum. Die Frage ist also nicht, ob man sich überhaupt mit der Cloud beschäftigt, und ebenso wenig ist es ein «Entweder ganz oder gar nicht»-Entscheid. Es gibt aber auch keinen Grund, sich unnötig selbst unter Zeitdruck zu setzen und dadurch die Qualität der Evaluation zu gefährden. Es besteht ein gewisser Zeitdruck für die ersten Schritte, aber mehr auch (noch) nicht.


Apprendre de l’expérience des autres
Il n’est pas nécessaire de procéder à une évaluation « en partant de zéro ». On peut plutôt profiter de tentatives et de résultats antérieurs. Les erreurs et les enseignements typiques observés lors de l’adoption du cloud sont notamment les suivants :

  • Généralement, le projet n’est pas purement informatique car il entraîne, entre autres, des changements dans les méthodes de travail et les processus des départements/services.
  • La question n’est pas (uniquement) celle du choix de la technologie ou du fournisseur (« Microsoft » n’est pas une stratégie).
  • Le succès dépend fortement de la définition des tâches à accomplir et de leur exécution minutieuse.
  • La complexité du projet et de sa mise en œuvre est souvent sous-estimée.
  • Les coûts de planification, de mise en œuvre, de pilotage, d’interfaces, de formation et de participation des personnes impliquées, d’exploitation, de surveillance, de maintenance, d’amélioration, de remplacement des anciens systèmes et processus, etc., sont généralement plus élevés (et plus cachés) que prévu.
  • Il s’agit d’une « opération à cœur ouvert » (maintien de la sécurité et de la qualité du service pendant le projet et lors de la mise en œuvre et du déploiement).


Les départements qui envisagent, aujourd’hui ou dans un avenir proche, d’introduire des services cloud ou de migrer des services existants vers une solution cloud doivent donc avant tout être et rester bien informés (y compris des conséquences sur leur travail), poser activement des questions en cas de doutes et ne pas se laisser aveugler ou bousculer. Par ailleurs, compte tenu de la complexité de la question, il est certainement utile d’« unir ses forces » et de rechercher activement de l’aide, du savoir-faire et des partenaires fiables disposant des connaissances préalables appropriées. Bedag Informatique SA est particulièrement qualifiée dans ce domaine et est toujours prête à agir comme un interlocuteur et un conseiller fiable pour l’administration publique. À l’étape suivante, il est judicieux de sélectionner des applications appropriées et de planifier, mettre en œuvre et évaluer (équitablement) des réalisations pilotes représentatives qui puissent ensuite être étendues progressivement en cas de succès du projet pilote.

Lorsque les applications sont prêtes pour le cloud, l’administration publique peut alors compter sur l’expérience de Bedag. En fonction des pics de charge requis, des exigences en matière de protection des données, de la charge de bande passante, etc., Bedag gérera cette application dans des environnements cloud publics, hybrides ou privés, soulageant ainsi l’administration pour ce celle-ci n’ait pas à se soucier non plus des questions de cloud brokering.

Comme l’introduction ou l’utilisation d’environnements cloud entraînera très probablement des changements dans les processus de travail et les structures organisationnelles habituels, il est également important de définir et de respecter à tout moment des voies de décision et de communication internes et, si nécessaire, externes claires. Cela permettra d’emmener l’ensemble des collaborateurs et des clients dans le voyage passionnant vers le cloud en évitant les frictions et de bénéficier des avantages évidents de la technologie cloud sans négliger les exigences nécessaires de sécurité juridique, de performance, de disponibilité, de traçabilité et de sécurité technique, sans lesquelles l’administration publique ne peut et ne doit pas fonctionner.

Dr. Hannes Lubich, membre du conseil d'administration de Bedag Informatique SA