Le marché du cloud public a connu d’énormes développements au cours de la dernière décennie, la pandémie de Covid étant un accélérateur important. Les services cloud sont devenus plus fiables et sont actuellement utilisés par un grand nombre de citoyens et d’entreprises. La sécurité des services de cloud public a augmenté et le déploiement à grande échelle de mises à jour et de correctifs facilite beaucoup plus qu’auparavant la correction des erreurs dans les logiciels. Pour ces raisons, il était temps de réviser la National Cloud Policy 2011.
La nouvelle politique permet aux services gouvernementaux néerlandais d’utiliser les services de cloud public. “Les services de cloud public offrent une perspective attrayante pour le développement d’un gouvernement numérique plus innovant, transparent, flexible et efficace”, a écrit la secrétaire d’État à la numérisation Alexandra van Huffelen à la Chambre basse néerlandaise. « Les faibles coûts initiaux et le paiement à l’utilisation font du cloud public une solution transparente.
« De plus, les risques sont désormais plus gérables qu’auparavant, en raison des investissements importants des fournisseurs de cloud public dans la sécurisation de leurs services. C’est bien plus que ce que le gouvernement veut ou peut investir lui-même dans la sécurité de l’information.
Ainsi, la route vers les clouds publics est enfin gratuite pour les services publics néerlandais, mais sous des conditions strictes.
Les conditions d’utilisation intègrent, par exemple, le traitement des données personnelles. Les clouds publics ne seront pas autorisés à être utilisés pour le registre de base, ni pour le stockage et le traitement de données personnelles spéciales. Tout stockage et traitement de données personnelles doit être conforme au règlement général sur la protection des données.
De plus, les fonctionnaires ne sont pas autorisés à stocker des secrets d’État dans un cloud public. Ils ne sont pas non plus censés utiliser les services cloud des pays ayant « un cyberprogramme actif qui est dirigé contre les intérêts néerlandais ». Chaque département du gouvernement néerlandais est lui-même responsable de l’évaluation et de la surveillance de tout risque pertinent lié à l’utilisation d’un service de cloud public. Le ministère néerlandais de la Défense reste toujours exclu de la nouvelle politique et ne sera pas autorisé à utiliser les services de cloud public.
Même si Van Huffelen est plutôt positive concernant la nouvelle politique nationale du cloud, elle est consciente que des risques subsistent, même indirectement. Par exemple, si un fournisseur de services cloud américain était racheté par une entreprise publique chinoise, l’utilisation de ce cloud public particulier ne serait plus autorisée par les services publics néerlandais.
Tous les départements formulent leur propre politique et stratégie cloud, sur la base de la nouvelle politique nationale cloud. Les organes du gouvernement qui ne font pas partie de la fonction publique sont priés de suivre ces conseils. De plus, les départements sont tenus d’intégrer une “stratégie de sortie” dans leurs contrats avec les fournisseurs de cloud public pour s’assurer que, dans le cas de l’exemple d’acquisition ci-dessus, ils sont assurés de l’annulation immédiate du service. Cette stratégie de sortie doit également indiquer comment les données seront retournées et détruites du côté du fournisseur.
“Le monde numérique n’est pas sans risques”, a déclaré Van Huffelen. “Pas même si nous avions un cloud entièrement autogéré.”
Selon le Bureau central néerlandais des statistiques, en 2020, 53 % des entreprises néerlandaises utilisaient le cloud, dont 39 % utilisaient un cloud public.
Van Huffelen a écrit dans sa lettre que ces entreprises exigent également un haut degré de sécurité et de confidentialité. La banque centrale néerlandaise (DNB) a été pionnière dans la gestion des risques liés au cloud dans le secteur financier.
Aujourd’hui, 49 % des banques néerlandaises utilisent le cloud, dont 38 % utilisent un cloud public. Près de 60 % des organisations de santé aux Pays-Bas utilisent un cloud privé, et 43 % d’entre elles utilisent également un cloud public.
De plus, les recherches montrent que plus de 50 % des organisations gouvernementales dans le monde utilisent des applications bureautiques à partir du cloud. Ces chiffres ont été un accélérateur important pour réviser la politique nationale néerlandaise sur le cloud de 2011.
Van Huffelen prévoit de commencer à évaluer la nouvelle politique cloud à partir de 2023.
