Comment choisir une solution cloud sécurisée pour les administrations publiques

En parallèle, dans sa synthèse parue en début d’année, l’organisme de cybersécurité CERT-FR, porté par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), indique que 218 incidents cyber ont été traités en 2024 pour les collectivités territoriales. Aussi, dans son rapport d’activité de 2024, l’ANSSI qualifie la menace de “systémique” pour le tissu public et social.

Dans ce contexte, choisir une solution cloud sécurisée pour les administrations publiques est devenu un enjeu central pour les DSI, les RSSI et les responsables de projets numériques.

L’objectif n’est pas simplement de trouver une infrastructure performante, mais de s’assurer que le cloud choisi respecte à la fois les exigences juridiques, réglementaires, techniques et opérationnelles propres au secteur public.

Comprendre ce qu’implique la sécurité cloud dans le secteur public

Les données manipulées par les administrations (informations personnelles, données de santé, données financières, informations sensibles liées aux infrastructures publiques) sont strictement encadrées par la CNIL et le RGPD. À cela s’ajoutent les certifications de sécurité attendues dans le secteur public : ISO/IEC 27001, HDS pour les données de santé, voire SecNumCloud pour les environnements les plus critiques.

Ces exigences montrent qu’un cloud sécurisé ne se limite pas à un pare-feu ou à du chiffrement. Il implique une approche complète, encadrée et auditée.

La souveraineté numérique, un critère devenu incontournable

Pour une administration publique, il est indispensable de savoir où sont hébergées les données et sous quelle juridiction elles se trouvent, afin de respecter le RGPD et d’encadrer correctement les éventuels transferts hors de l’Union Européenne.

Un cloud souverain implique non seulement une localisation des données en Union Européenne, mais aussi une absence d’exposition à des lois extraterritoriales comme le Cloud Act américain (2018), qui permet à un gouvernement étranger d’exiger l’accès à des données stockées chez un fournisseur soumis à sa juridiction.

La souveraineté participe également à la résilience des systèmes d’information. En limitant les dépendances techniques, contractuelles ou juridiques à un fournisseur unique, une administration conserve la capacité de réagir rapidement en cas de contrainte, par exemple s’il faut changer de prestataire ou relocaliser un service lorsque le contexte réglementaire, opérationnel ou stratégique l’impose. Cette marge de manœuvre constitue un facteur important de maîtrise et de pérennité des services numériques publics.

Le critère de souveraineté constitue donc un point différenciant majeur lorsqu’il s’agit de choisir entre un fournisseur européen et un fournisseur américain.

Au-delà de la conformité : les exigences techniques essentielles

Pour garantir un niveau de sécurité adapté au secteur public, une solution cloud doit offrir une isolation forte entre les environnements, un chiffrement systématique des données en transit et au repos, un durcissement des hôtes, ainsi que des mécanismes de supervision continus (logs, métriques, alertes).

La gestion des identités (IAM), l’authentification multifacteur et l’application du principe du moindre privilège s’inscrivent dans une logique Zero Trust, désormais recommandée par l’ANSSI pour réduire la surface d’attaque.

La sécurité repose également sur la résistance opérationnelle : continuité de service, capacité de récupération, haute disponibilité, et architecture tolérante aux pannes.

La place de l’automatisation dans la réduction du risque

L’automatisation est souvent perçue comme un confort pour les développeurs ; dans le secteur public, c’est surtout un levier de réduction du risque humain.

Les déploiements automatisés, la scalabilité automatique ou encore l’autoréparation (self-healing) permettent de limiter les erreurs opérationnelles, qui représentent une part importante des incidents de sécurité.

En réduisant le nombre d’opérations manuelles, on diminue les risques de mauvaise configuration et on améliore la disponibilité globale du service.

La question du coût total et de la gouvernance

Choisir un cloud sécurisé ne revient pas uniquement à comparer des prix catalogue.

Le secteur public doit intégrer la notion de coût total de possession (TCO) :

• Coût de l’infrastructure,
• Coûts humains internes,
• Complexité des opérations,
• Maintenance,
• Temps passé à gérer les incidents,
• Effort nécessaire pour migrer un service ou en assurer la réversibilité.

Une plateforme qui automatise la majorité des opérations et rend les environnements reproductibles peut réduire significativement la charge interne, et donc le coût global.

Comment évaluer objectivement les solutions du marché ?

Pour évaluer une solution cloud destinée au secteur public, il est essentiel de s’appuyer sur des critères factuels : le niveau de souveraineté, les certifications, les capacités techniques, la réversibilité, la disponibilité d’options cloud privé ou on-premise, l’existence d’environnements air-gap, la qualité du support et la compatibilité avec les outils existants.

Les erreurs les plus fréquentes consistent à choisir un acteur par habitude, à se baser uniquement sur le prix, ou à confondre souveraineté de localisation et souveraineté juridique.

Une autre erreur récurrente consiste à surestimer la difficulté d’une migration : un test ou un Proof of Concept est souvent suffisant pour valider la faisabilité.

Une méthode simple pour choisir la bonne solution cloud

La démarche la plus efficace consiste à :

Cette méthode offre une vision équilibrée entre sécurité, conformité, performance et durabilité.

Ce que Clever Cloud apporte sur ces sujets

Clever Cloud est un hébergeur européen certifié ISO/IEC 27001:2022 et HDS, proposant des environnements cloud publics, privés, on-premise et air-gap. Pour les besoins ultra-réglementés, une zone déjà qualifiée SecNumCloud est disponible sur demande via notre partenariat avec Cloud Temple. Cela permet de répondre aux exigences du “cloud de confiance” tout en bénéficiant de la plateforme Clever Cloud.

La plateforme suit une approche de sécurité basée sur l’isolation, le durcissement, l’authentification forte et l’observabilité intégrée.

Les déploiements automatisés, la montée en charge automatique (auto-scaling) et les mécanismes de self-healing réduisent l’effort opérationnel et limitent les erreurs humaines.

Les données restent en Europe et leur portabilité est garantie, sans dépendance propriétaire.

Le support est humain et assuré depuis la France.

Enfin, il est à noter que pour les organismes publics qui passent par les marchés mutualisés, Clever Cloud est également référencé sur le marché Nuage Public (UGAP). Les administrations peuvent ainsi souscrire nos services dans un cadre d’achat public déjà validé, ce qui simplifie les démarches administratives et accélère la mise en service.

Vers un cloud public sécurisé, souverain et durable

Pour une administration, choisir un cloud sécurisé revient à trouver un équilibre entre souveraineté, conformité, sécurité technique, productivité et maîtrise des coûts.

En s’appuyant sur des critères clairs et sur les référentiels officiels (ANSSI, ISO, RGPD, HDS), il devient possible de sélectionner une solution réellement adaptée aux besoins du secteur public, capable d’assurer à la fois la continuité de service et la protection des données des citoyens.