C’est fait. Le 10 avril, l’Etat français a officiellement mis un pied dans le Cloud public, en publiant une consultation sur un ‘Accord-cadre interministériel pour la fourniture de ressources informatiques à la demande (en mode « informatique en nuage ») et de prestations informatiques’. Passé par le Service des achats de l’Etat (SAE), ce marché sera attribué en juillet pour une disponibilité prévue du service Cloud en septembre 2015, selon le calendrier de l’administration. Le marché doit être conclu pour deux ans (reconductible tacitement une fois pour deux nouvelles années). Les prestataires ont jusqu’au 20 mai pour déposer leur dossier de candidature.
Derrière le SAE, un service d’achats mutualisés de l’Etat rattaché à Bercy, ce sont en réalité tous les principaux ministères (Affaires étrangères, Education nationale, Justice, Bercy, Affaires sociales, Intérieur, Travail et emploi, Défense, Culture, Agriculture, Affaires sociales et santé), ainsi qu’une dizaine d’établissements publics (l’EFS, l’Ina, Radio France, l’Université Pierre et Marie Curie…), qui pourront bénéficier des services mis à disposition par le prestataire retenu. Ce qui fera l’objet de futurs marchés découlant de cet accord cadre.
Ce premier appel d’offres apparaît comme le fruit de la stratégie Cloud interministérielle entamée il y a plus de deux ans et pilotée par la Disic (Direction interministérielle des systèmes d’information de communication), soit la DSI de l’Etat. Une stratégie détaillée en mars dernier dans nos colonnes par Paul Braida, chef du service opérations de la Disic. En résumé, celle-ci se déploie selon deux axes. Le premier consiste à partager de la puissance entre administrations au sein d’un Cloud privé. Les surcapacités d’un ministère permettant ainsi d’absorber les besoins d’un autre. Plusieurs expérimentations sont menées dans ce cadre, à la Dila (Direction de l’information légale et administrative), à l’Éducation Nationale ou par le duo Agriculture / Développement durable dont le projet G-cloud vise à provisionner des ressources entre deux centres serveurs distincts (l’un situé à Toulouse, l’autre à Paris).
L’autre axe de la stratégie Cloud du gouvernement vise les besoins plus ponctuels, liés par exemple à des tests ou à des développements. C’est ici qu’intervient l’appel d’offres passé par le SAE il y a quelques jours, visant à identifier un fournisseur de Cloud public. Les documents associés à ce marché précisent d’ailleurs qu’il s’agit de satisfaire des « besoins en ressources informatiques non couverts aujourd’hui ». Et d’énumérer : les développements agiles, la maîtrise de la montée en charge pour éviter un surdimensionnement des infrastructures internes, l’hébergement d’applications spécifiques « de type data science » ou encore l’externalisation transitoire « le temps du réaménagement d’une partie d’un centre informatique ».
Le point commun de ces deux chantiers lancés en parallèle ? Un socle technologique unique, OpenStack. Si le SAE n’exige pas formellement l’emploi d’OpenStack par le futur prestataire de Cloud public, il demande, dans l’appel d’offres, « l’interopérabilité avec une plate-forme OpenStack ou équivalent ». Un prérequis qui semble logique afin d’envisager des scénarios de type Cloud hybride (débordements, passage en production sur le Cloud privé d’application développées et testées sur le Cloud public…).
L’appel d’offres précise par ailleurs les niveaux de services attendus. L’Etat requiert deux types de SLA (99,5 % et 99,9 % de disponibilité minimale), associés à des pénalités (par exemple 30 jours de redevance des ressources impactées en cas d’indisponibilité supérieure à 1,5 fois le SLA). Par ailleurs, le raccordement au RIE (Réseau Interministériel de l’Etat) fait aussi figure de prérequis, celui-ci devant être assuré par le prestataire déjà titulaire de ce marché, Celeste. Pour remporter l’accord-cadre, le spécialiste du Cloud retenu devra nécessairement accueillir « en ses locaux, pour les besoins du marché, un accès réseau dédié à la prestation » et assurer « un cloisonnement entre les différents accès réseau, notamment entre Internet et le RIE ». « Une ressource (machine virtuelle ou stockage) ne doit pas être raccordée simultanément au RIE et à Internet », insistent les documents décrivant le marché.
Une exigence de sécurité finalement assez attendue. Tout comme l’hébergement des données exclusivement dans l’Hexagone. L’Etat impose encore que le prestataire s’engage à respecter les exigences du référentiel de sécurité ‘Secure Cloud’, dont la version 2 .0 a été publiée en mars par l’Anssi, ainsi que de se soumettre à la procédure de labellisation de cette même Agence nationale de sécurité des systèmes d’information, dès que celle-ci entrera en vigueur.
A lire aussi :
Cloud de l’Etat : une solution hybride public / privé (tribune)
La France veut une certification pour la sécurité du Cloud
Premier appel d’offres Cloud pour la Commission européenne
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…