Les DSI du secteur public — collectivités territoriales, hôpitaux, établissements d’enseignement, administrations — partagent un défi commun : moderniser leur infrastructure cloud tout en respectant des contraintes réglementaires qui n’existent pas dans le privé. La souveraineté des données n’est pas un choix philosophique — c’est une obligation légale.
NIS2 impose des mesures de cybersécurité depuis octobre 2024. Le RGPD sanctionne les transferts de données hors UE. Le code des marchés publics encadre les achats. Et le budget, lui, ne suit pas toujours.
Ce guide vous explique comment déployer un cloud souverain conforme au secteur public, sans dépasser le budget, en respectant le cadre juridique, et en passant les marchés publics.
Pourquoi le cloud public ne convient pas au secteur public
Le problème du cloud américain
Les grands fournisseurs de cloud (AWS, Azure, GCP) sont soumis au Cloud Act américain, qui permet aux autorités US d’accéder aux données stockées sur leurs serveurs, même en Europe. Pour une collectivité qui gère des données citoyennes, c’est un risque juridique majeur.
Le Schrems II (CJUE, juillet 2020) a invalidé le Privacy Shield et encadre sévèrement les transferts de données hors UE. Les clauses contractuelles types ne suffisent pas si le fournisseur est soumis au Cloud Act.
Le problème du verrouillage
Les clouds publics créent une dépendance technologique que le code des marchés publics combat :
- Formats propriétaires difficiles à exporter
- Licences liées à l’écosystème du fournisseur
- Coûts de sortie imprévisibles (egress fees)
- Impossibilité de changer de fournisseur sans refondre l’architecture
Le problème du budget
Le cloud public est conçu pour des entreprises privées avec des budgets IT flexibles. Le secteur public fonctionne en crédits budgétaires annuels :
- Pas de facturation à l’usage (imprévisible dans les marchés publics)
- Besoin d’un TCO sur 5 ans dans les CCTP
- Obligation de mise en concurrence pour les achats importants
- Impossible de justifier des coûts d’egress dans un budget de fonctionnement
Le cadre réglementaire du cloud dans le secteur public
NIS2 : les nouvelles obligations pour le secteur public
Depuis octobre 2024, NIS2 s’applique aux entités essentielles du secteur public :
- Collectivités de plus de 50 000 habitants
- Hôpitaux et établissements de santé
- Opérateurs de services essentiels (eau, énergie, transport)
- Administrations gérant des données citoyennes sensibles
Obligations NIS2 pour le secteur public :
| Obligation | Ce que ça signifie | Comment le cloud souverain y répond |
|---|---|---|
| Gestion des risques | Cartographie et évaluation des risques ICT | Infrastructure as Code avec audit trail |
| Signalisation des incidents | Notification dans les 24h, rapport dans les 72h | Supervision centralisée + Alertmanager |
| Continuité d’activité | Plan de reprise et tests réguliers | Haute disponibilité + backups automatisés |
| Chaîne d’approvisionnement | Évaluation des fournisseurs ICT | Open source auditable, pas de dépendance |
| Sécurité du réseau | Chiffrement, segmentation, contrôle d’accès | Zero Trust + mTLS + micro-segmentation |
RGPD : souveraineté des données
Pour les collectivités qui gèrent des données citoyennes, le RGPD impose :
- Données hébergées en UE : pas de transfert hors Europe sans garanties
- Droit à l’oubli : suppression des données sur demande
- Privacy by design : protection des données dès la conception
- Sous-traitants conformes : le responsable de traitement reste la collectivité
Le cloud souverain héberge les données en France, sur des serveurs français, gérés par une entreprise européenne. Pas de Cloud Act, pas de transfert.
Marché public : comment acheter du cloud
L’achat de cloud par le secteur public suit les règles des marchés publics :
- Moins de 40 000 € HT : procédure simplifiée (achat sur catalogue)
- Entre 40 000 et 219 000 € HT : procédure adaptée avec mise en concurrence
- Plus de 219 000 € HT : appel d’offres ouvert ou restreint
Conseil pratique : structurez votre CCTP (Cahier des Clauses Techniques Particulières) en termes de résultats attendus (SLA, conformité, souveraineté), pas en termes de moyens (type de serveur, marque). Cela permet d’inclure les solutions open source et de ne pas verrouiller le marché.
Architecture cloud souverain pour le secteur public
Vue d’ensemble
┌───────────────────────────────────────────────────┐
│ PORTAIL COLLECTIVITÉ │
│ (Interface citoyen, démarches en ligne) │
└────────────────────┬──────────────────────────────┘
│ HTTPS
┌────────────────────▼──────────────────────────────┐
│ TRAEFIK + CORAZA WAF │
│ (Reverse proxy, SSL, pare-feu applicatif) │
└──────┬──────────┬──────────┬──────────────────────┘
│ │ │
┌──────▼────┐┌────▼─────┐┌──▼──────────┐
│ Site web ││ SIG ││ Démarches │
│ collectivité│ │(Géomatique)│ │en ligne │
└──────┬────┘└────┬─────┘└──┬──────────┘
│ │ │
┌──────▼──────────▼──────────▼──────────────────────┐
│ OPENNEBULA (Cloud privé) │
│ (VM, conteneurs, autoscaling, snapshots) │
└────────────────────────────────────────────────────┘
│ │ │
▼ ▼ ▼
┌──────────┐┌──────────┐┌──────────────┐
│Stockage ││Backup ││Observabilité │
│MinIO ││snapshots ││Grafana+Prom │
│(objets) ││(chiffés) ││+Loki │
└──────────┘└──────────┘└──────────────┘Les composants clés
| Composant | Outil | Licence | Rôle dans le secteur public |
|---|---|---|---|
| Orchestration | OpenNebula | Apache 2.0 | Cloud privé souverain, multisite |
| Proxy/WAF | Traefik + Coraza | MIT / Apache 2.0 | Protection applicative |
| Identité | Keycloak | Apache 2.0 | SSO, MFA, FranceConnect |
| Supervision | Grafana + Prometheus | AGPL / Apache 2.0 | Observabilité, conformité NIS2 |
| Secrets | HashiCorp Vault | BSL / MPL 2.0 | Gestion des secrets, rotation |
| Stockage | MinIO | AGPL | Stockage objet, S3-compatible |
| Réseau | WireGuard | GPL | VPN site-à-site, interconnexions |
| Segmentation | Cilium | Apache 2.0 | Micro-segmentation réseau |
100 % open source : pas de licence propriétaire, pas de verrouillage, conformité avec les exigences de marché public sur la réutilisation et l’auditabilité.
Les 5 cas d’usage prioritaires du secteur public
1. Site web et portail citoyen
Le site web de la collectivité est le point de contact principal avec les citoyens. Il doit être disponible, rapide et sécurisé.
- Haute disponibilité : 99,95 % d’uptime (soit moins de 22 min d’indisponibilité par mois)
- Performance : temps de réponse < 200ms (Core Web Vitals)
- Sécurité : WAF, SSL, protection DDoS
- Souveraineté : données des citoyens hébergées en France
2. Systèmes d’information géographiques (SIG)
Les collectivités gèrent des données géographiques massives (cadastre, urbanisme, réseaux). Le cloud public est inadapté : les coûts d’egress sur les données géographiques sont prohibitifs.
- Stockage performant : MinIO pour les données raster et vectorielles
- Calcul à la demande : VM GPU pour les traitements lourds
- Partage inter-services : accès contrôlé entre services urbanisme, environnement, travaux
3. Démarches en ligne et téléservices
Les démarches en ligne (état civil, permis, subventions) manipulent des données personnelles :RGPD et souveraineté sont obligatoires.
- FranceConnect + Keycloak : authentification citoyenne
- Signature électronique : intégration avec les horodatages qualifiés
- Traçabilité : audit trail de chaque démarche
- Haute disponibilité : pas de panne pendant les périodes de pic
4. Systèmes d’information hospitaliers (SIH)
Les hôpitaux gèrent des données de santé (données sensibles au sens du RGPD). L’hébergement doit être certifié HDS (Hébergement de Données de Santé).
- Certification HDS : les données restent en France, sur une infrastructure certifiée
- Disponibilité 24/7 : les systèmes hospitaliers ne peuvent pas tomber en panne
- Backup et PRA : reprise d’activité en moins de 4h (objectif DORA)
- Traçabilité : audit trail des accès aux données patient
5. Infrastructure éducative
Les établissements d’enseignement (universités, lycées) gèrent des données étudiantes et ont besoin d’une infrastructure pédagogique.
- ENT (Espace Numérique de Travail) : Nextcloud, Moodle, BigBlueButton
- Laboratoires virtuels : VM à la demande pour les étudiants
- Sécurité : filtrage, conformité COPPA (mineurs), traçabilité
TCO sur 5 ans : cloud souverain vs cloud public
Pour une collectivité de 100 000 habitants avec 15 serveurs :
| Poste | Cloud public (AWS/Azure) | Cloud souverain (OpenNebula) | Économie |
|---|---|---|---|
| Infrastructure (5 ans) | 480 K€ | 180 K€ | -62 % |
| Egress (5 ans) | 120 K€ | 0 K€ | -100 % |
| Licences propriétaires | 75 K€ | 0 K€ | -100 % |
| Conformité réglementaire | 50 K€ | Inclus | -100 % |
| Support | 60 K€ | 45 K€ | -25 % |
| Formation et migration | 40 K€ | 35 K€ | -12 % |
| Total 5 ans | 825 K€ | 260 K€ | -68 % |
Résultat : le cloud souverain coûte 68 % moins cher sur 5 ans, tout en offrant la souveraineté des données et la conformité réglementaire que le cloud public ne garantit pas.
Les coûts cachés du cloud public
Le TCO du cloud public dépasse toujours l’estimation initiale :
- Egress : les données qui sortent coûtent cher (0,09 €/Go sur AWS)
- Licences : Windows Server, SQL Server, Office 365 — chaque licence s’ajoute
- Lock-in : changer de fournisseur coûte souvent plus que rester
- Conformité : les audits de conformité sur cloud public nécessitent des outils tiers
Marché public : comment structurer l’achat
Le CCTP cloud souverain : les clauses essentielles
Votre Cahier des Clauses Techniques Particulières doit inclure :
-
Souveraineté des données : « Les données seront hébergées exclusivement en France métropolitaine, sur des serveurs appartenant à l’entité exploitante ou à un sous-traitant établi dans l’Union européenne. »
-
Transparence des coûts : « Le titulaire fournira un TCO sur 5 ans incluant l’ensemble des coûts (infrastructure, egress, licences, support, formation). »
-
Réversibilité : « Le titulaire garantit la portabilité des données et de l’architecture vers tout autre fournisseur, sans frais de sortie et dans un délai maximum de 30 jours. »
-
Conformité réglementaire : « Le titulaire démontre la conformité aux exigences NIS2, RGPD et, le cas échéant, HDS. »
-
Open source : « Les composants logiciels seront de préférence open source, avec preuve d’auditabilité et d’absence de backdoor. »
Les plateformes d’achat existantes
Plusieurs dispositifs facilitent l’achat de cloud souverain :
- UGAP : marché public avec cloud souverain référencé
- CATS : catalogue de services numériques de l’État
- France Num : initiative gouvernementale pour la transformation numérique des PME et collectivités
- Groupements de commandes : mutualisation entre collectivités pour atteindre les volumes
Déploiement en 10 jours : la méthode Cloud Inspire
J1-2 : Infrastructure de base
- Installation OpenNebula sur l’infrastructure existante ou nouvelle
- Configuration réseau, pare-feu, VPN
- Provisionnement des VM de base
J3-4 : Services critiques
- Déploiement du site web / portail citoyen
- Configuration Keycloak + FranceConnect
- Mise en place du WAF (Traefik + Coraza)
J5-6 : Observabilité et sécurité
- Installation Grafana + Prometheus + Loki
- Dashboards de supervision (infrastructure, sécurité, conformité)
- Alertes NIS2 (disponibilité, incidents, SLA)
J7-8 : Continuité et sauvegarde
- Configuration des sauvegardes automatisées (snapshot + MinIO)
- Plan de reprise d’activité (PRA)
- Test de restauration
J9-10 : Formation et livraison
- Formation des équipes (2 jours)
- Documentation de l’infrastructure
- Livraison avec rapport de conformité NIS2/RGPD
Conclusion
Le secteur public n’a pas le choix de la souveraineté — c’est une obligation légale et éthique. La question n’est pas « faut-il un cloud souverain ? » mais « comment le déployer dans les contraintes budgétaires et réglementaires ? ».
Le cloud souverain OpenNebula répond aux exigences du secteur public : données en France, 100 % open source, conforme NIS2 et RGPD, et 68 % moins cher que le cloud public sur 5 ans. Le tout déployable en 10 jours, avec un TCO prévisible et sans egress fees.
Cloud Inspire accompagne les collectivités, hôpitaux et administrations dans leur transformation cloud souveraine. Si vous êtes un DSI du secteur public qui veut moderniser sans compromettre la souveraineté, demandez un audit gratuit.