En Mai 2023, le comité interministériel de la transformation public puis la Première Ministre ont mis à jour la doctrine de l'état français relative à l'utilisation de l'informatique en nuage (le cloud) par l'Etat et les collectivités locales. Les précédentes circulaires dataient du 8 novembre 2018 puis du 5 juillet 2021 et incitaient déjà les collectivités à favoriser le mode d'hébergement et de production informatique en guise d'expérimentation et de passage à l'échelle.
La nouvelle circulaire du 31 mai 2023 est encore plus incitative puisqu'
elle demande aux entités de l'État et des Collectivités Locales à se passer des solutions "traditionnelles" pour passer dans des solutions "dans le nuage" (doctrine
"cloud au centre") en se gardant bien de réinventer la roue quand une solution existe déjà sur le marché, en particulier lorsqu'elle est mutualisée. Ce sont les règles R1 (
Pour tout nouveau projet numérique, quelle que soit sa taille, une solution cloud doit être recherchée) et R13 (Les administrations ne doivent pas chercher à créer et maintenir de nouveaux
logiciels sur mesure) de la circulaire. En tant que solution mutualisée SaaS, dans le cloud, sur étagère, Mapado correspond à l'objectif affiché.
Elle impose également le parfait respect du RGPD, notamment en termes de choix des hébergeurs de ses prestataires au sein de la règle R9 de la circulaire. En cela, la politique de Mapado de ne travailler qu'avec des prestataires de Cloud Européen permet de s'assurer qu'il n'y a pas de transfert de données possible (particulièrement aux USA, objet de multiples controverses).
À noter que la circulaire indique une certification obligatoire SecNumCloud dans la même règle R9 pour les données d'une "sensibilité particulière" (dont la violation est susceptible d'engendrer une atteinte à l'ordre public, à la sécurité publique, à la santé et la vie des personnes ou à la protection de la propriété intellectuelle, et de citer en exemple les données relatives à la défense nationale, la conduite de la politique extérieure de la France, la sûreté de l'Etat...). Cela ne s'applique évidemment pas aux données que vous allez manipuler avec Mapado, qui si elles peuvent être personnelles, ne sont pas de "sensibilité particulière". Et c'est tant mieux d'ailleurs, car l'éventail des hébergeurs cloud certifié SecNumCloud ne permet pas encore de répondre correctement à nos yeux à la contrainte suivante.
Elle demande en effet aussi de s'assurer d'une résilience de l'hébergement, notamment géographique (règle R5 de la circulaire), ce qui est le cas avec Mapado qui favorise les clouds souverains français puisque nous avons une plateforme principale chez OVH dans plusieurs de leurs datacenters (ainsi répartis pour parer à un incident dans un datacenter OVH) et disposons aussi d'une plateforme de secours chez l'autre leader français Scaleway (choisi pour parer un incident impactant tout OVH, une grosse attaque réseau par exemple) avec un arbitrage externe entre ces deux plateformes chez l'hébergeur français historique Gandi (pour déterminer de façon externe si nous devons passer de l'une à l'autre des plateformes). Nous disposons aussi d'un archivage backup chez l'opérateur allemand Hetzner (permettant de restaurer les données en cas d'incident grave impactant les deux leaders français du cloud).