données sous tutelle
NIS2 : les collectivités sommées de trier, sécuriser et arbitrer le cloud
Sous pression réglementaire et budgétaire, les collectivités doivent revoir leur stratégie cloud. Tri des données, souveraineté et gouvernance deviennent des impératifs structurants.
NIS2 ne se contente pas d’un rapport de conformité, la directive force à repenser en profondeur votre cybersécurité, ou à en assumer les risques. Pour les collectivités, cela implique l’identification des systèmes d’information essentiels, la formalisation de la gestion du risque et la démonstration d’une capacité de résilience. Autrement dit, passer d’une simple logique d’outillage à une conception d’architecture. Le problème ? Un grand nombre d’organisations locales ont empilé des solutions au fil des besoins métiers sans refonte globale. La réglementation agit ici comme un révélateur. “La cybersécurité, la cyber résilience et la résilience au sens large, ce n’est pas une dépense, c’est un réel investissement”, a soutenu Mauna Traikia, conseillère territoriale déléguée au développement du Numérique de Plaine Commune. Le discours est politiquement assumé, mais il se heurte à une réalité simple, la cybersécurité ne produit pas de service visible. Elle protège l’existant. Pour des collectivités soumises à une forte pression sociale et financière, l’arbitrage reste délicat. “On va se retrouver avec des collectivités qui n’ont pas du tout les mêmes moyens”, a averti Jérôme Labe, RSSI au centre de gestion de Seine-et-Marne. Le risque serait donc d'éluder une mise en conformité à géométrie variable. Pourtant inéluctable.
Sans cartographie fine, le cloud devient une fuite en avant
En arrière-plan, le débat sur le “cloud de confiance” masque un problème plus fondamental, l’absence de classification rigoureuse des données. Migrer sans hiérarchiser revient à déplacer l’incertitude plutôt qu’à la réduire. “Aujourd’hui, on n’a jamais fait l’effort de savoir quelles étaient nos données sensibles”, a affirmé Jean-Luc Sallaberry, chef du Département Numérique de la FNCCR (Fédération Nationale des Collectivités Concédantes et Régies). Cette carence fragilise toute stratégie d’hébergement. D’autant plus qu’un système qualifié d’essentiel peut contenir des flux critiques et des données ordinaires. Objectivement, appliquer un même niveau d’exigence à l’ensemble renchérit les coûts sans gain proportionnel. À l’inverse, sous-estimer la sensibilité expose à des sanctions et à des interruptions de service.
"Le cloud reste une réponse technique à une question stratégique mal formulée"
“NIS2 nous impose de savoir quels sont les systèmes d’information essentiels”, a rappelé Jean-Luc Sallaberry. Encore faut-il descendre au niveau granulaire. Le véritable enjeu n’est pas de choisir un fournisseur, mais de maîtriser le cycle de vie de la donnée publique. Tant que cette cartographie n’est pas stabilisée, le cloud reste une réponse technique à une question stratégique mal formulée.
Prestataires, la faille contractuelle
Les collectivités externalisent massivement. Applications métiers, maintenance, hébergement, infogérance. Chaque contrat élargit la surface d’attaque. “Il suffit que vous achetiez une prestation de service à un fournisseur, ça aussi c’est un risque”, a rappelé Mauna Traikia. Les attaques par rebond démontrent que la sécurité d’un territoire dépend désormais de la maturité cyber de ses partenaires. Pourtant, la commande publique reste souvent focalisée sur le prix et la conformité formelle. “Il faut en faire de l’acheteur public un acteur majeur de la sécurisation”, a-t-elle insisté. Cela implique des clauses techniques exigeantes, des audits, des exigences de réversibilité et une vigilance sur l’extraterritorialité. La mutualisation peut amortir l’effort, notamment via des data centers territoriaux ou des structures intercommunales, mais elle ne résout pas tout. Elle réduit le coût unitaire, certes, mais ne supprime pas le risque systémique.
IA : productivité ou vulnérabilité
À cela, s’ajoute l’intelligence artificielle qui accélère les usages avant même que la gouvernance ne soit formalisée. Les collectivités n’échappent pas à cette dynamique. “La feuille de route qu’on a validée il y a quelques jours est fortement orientée IA”, a indiqué la conseillère territoriale déléguée au développement du Numérique de Plaine Commune. L’objectif ici est d’optimiser l’analyse et la performance des achats. Mais l’adoption spontanée d’outils génératifs crée une nouvelle vulnérabilité. “Ce n’est pas une bonne chose”, a alerté Jérôme Labe, évoquant l’intégration de données confidentielles au sein des plateformes grand public. Le problème n’est pas l’outil, c’est l’absence de cadre. Sans politique d’usage claire, l’IA devient un vecteur d’exfiltration involontaire. Dans un contexte de directive NIS2, ce type de pratique peut engager la responsabilité de la collectivité.
Cloud local, juridiction étrangère
Face à l’exfiltration de donnée, la localisation d’un data center ne suffit plus à rassurer. La question centrale porte sur le droit applicable et le contrôle effectif des données. “La vraie question, c’est à qui appartiennent les données”, a interrogé Mauna Traikia. Les dépendances vis-à-vis d’acteurs soumis à des législations extraterritoriales créent une incertitude structurelle. Le chef du Département Numérique de la FNCCR, Jean-Luc Sallaberry a appelé à une prise de conscience plus large. “Il faut être capable de prendre conscience des rapports de force numériques de manière à pouvoir rectifier le tir”, a-t-il déclaré. Derrière cette formule se joue une question de souveraineté opérationnelle. Si une collectivité ne maîtrise pas l’ensemble du cycle de sa donnée, elle ne maîtrise pas pleinement son service public. Le débat n’oppose plus cloud public et cloud souverain. Il oppose gestion approximative et gouvernance structurée. NIS2 contraint les collectivités à passer d’une culture de l’outil à une culture de la maîtrise.
