Swiss Government Cloud : Audit, niveaux cloud et efforts fédéraux

Blog (FR)

Auteur : Contrôle fédéral des finances / Eidgenössische Finanzkontrolle (EFK) Source : Audit Swiss Government Cloud – CDF-25155 Date de publication : 10.10.2025 Temps de lecture : env. 6 minutes

2. Résumé exécutif

Le CDF examine le projet clé Swiss Government Cloud (SGC), qui doit construire d'ici 2032 un multi-cloud hybride pour la Confédération, les cantons et les communes. Malgré un crédit d'engagement de 246,9 millions de CHF et des coûts totaux du programme de 319,4 millions de CHF, l'utilité économique pour l'ensemble de l'administration fédérale n'est pas encore démontrée. Le modèle suisse à niveaux cloud (Public, Public CH, Private, Private sécurisé) est conceptuellement moderne, mais doit être mieux articulé avec les standards européens comme EUCS et BSI C5 pour ne pas basculer dans un régime spécial national. Les questions ouvertes sur la classification des données et la répartition des rôles entre Confédération, cantons et communes risquent d'étouffer la souveraineté numérique dans la bureaucratie.

3. Questions directrices critiques (libéral-journalistique)

  1. Liberté : Un marché de cloud gouvernemental fortement centralisé restreint-il inutilement la liberté de choix technologique et entrepreneuriale de l'administration ?
  2. Responsabilité : Qui porte finalement le risque des mauvais investissements – l'OFIT, les départements, les cantons ou les contribuables ?
  3. Transparence : Pourquoi n'y a-t-il pas encore en 2025 de business case solide pour l'ensemble de l'administration fédérale, alors que l'acquisition est en cours ?
  4. Innovation : Le modèle cloud à quatre niveaux favorise-t-il l'innovation – ou cimente-t-il une pensée héritée dans de nouvelles structures ?
  5. Efforts fédéraux : Est-il judicieux que chaque unité administrative suisse développe ses propres critères de classification des données – ou un standard uniforme basé sur les risques serait-il plus efficace ?

4. Analyse de scénarios : perspectives d'avenir

Horizon temporel Développement attendu
Court terme (1 an) L'acquisition SGC se concrétise, le business case sera fourni a posteriori ; la gouvernance et la classification des données restent politiquement controversées.
Moyen terme (5 ans) Transfert de 92 % à 22 % de part de cloud privé au profit de jusqu'à 78 % de cloud public ; la Confédération lutte avec la conformité UE et les voies spéciales fédérales.
Long terme (10–20 ans) Soit naît un cloud souverain interopérable, compatible EUCS – soit un patchwork de régimes spéciaux qui augmente les coûts et la complexité.

5. Résumé principal

Thème central & contexte Le rapport examine comment le SGC en tant que multi-cloud hybride doit remplacer la plateforme vieillissante Atlantica et renforcer la souveraineté numérique de la Suisse. L'accent est mis sur l'évaluation des besoins, la rentabilité, la gouvernance, les risques de migration et le modèle à niveaux cloud avec quatre niveaux de sécurité et de souveraineté (Public, Public Suisse, Private Confédération, Private Confédération sécurisé).

Faits et chiffres les plus importants

  • Crédit d'engagement 246,9 millions de CHF, volume du programme 319,4 millions de CHF (sans coûts d'utilisation et de migration).
  • Shift pronostiqué : de 8 % à 78 % de part de cloud public (niveaux I+II) entre 2027 et 2032.
  • Charge estimée : 1'117 applications, 108,9 pétaoctets de stockage, près de 20'000 cœurs CPU sur le SGC.
  • ?? Classification uniforme des données entre Confédération, cantons et communes souhaitée politiquement, mais pas encore clairement réglementée opérationnellement.

Les niveaux cloud sont-ils modernes ? Le modèle suisse à quatre niveaux différencie selon souveraineté, localisation et besoin de protection et a été actualisé en 2025. Il s'inscrit ainsi dans la tendance des débats européens sur le cloud souverain et ressemble dans la logique aux niveaux de sécurité EUCS prévus (Basic, Substantial, High) ainsi qu'au BSI C5 allemand comme standard minimum. (enisa.europa.eu) Il reste critique que le modèle décrive plutôt des niveaux statiques, alors que la sécurité cloud moderne fonctionne fortement basée sur le contrôle et les risques (Zero Trust, certification continue).

Comparaison européenne des niveaux de sécurité cloud

  • Niveau UE : Avec EUCS naît un cadre contraignant avec des niveaux de sécurité échelonnés pour les services cloud en Europe. (enisa.europa.eu)
  • Allemagne : Utilise avec C5 et l'architecture cible pour le « Germany's government cloud » surtout des contrôles de sécurité et des classes de protection, moins un modèle à 4 niveaux politiquement visible comme la Suisse. (it-planungsrat.de)
  • Autriche : Mise sur l'utilisation cloud hybride, le droit UE, les standards ISO et la stratégie nationale de cybersécurité, mais pas de modèle à niveaux clairement communiqué et comparable pour l'ensemble de l'administration. ?? (Bundeskanzleramt)

Les niveaux suisses sont donc compatible sur le contenu, mais relativement uniques dans leur expression nationale.

Parties prenantes & concernés

  • Services fédéraux comme utilisateurs principaux et porteurs des coûts de la plateforme.
  • Cantons et communes, dont les besoins sont seulement estimés et non déposés de manière contraignante.
  • Citoyens, entreprises et ONG, qui dépendent indirectement de la disponibilité, sécurité et efficacité de l'IT étatique.
  • Fournisseurs cloud et hyperscalers, dont l'accès au marché est contrôlé via la gouvernance, la certification EUCS et les conditions de localisation. (enisa.europa.eu)

Chances & risques

Chances Risques
Renforcement de la souveraineté numérique par des niveaux propres de cloud privé et souverain. Gouvernance complexe, responsabilités peu claires et risques de migration.
Utilisation cloud public scalable avec une part de cloud privé décroissante réduit les coûts d'exploitation à long terme et augmente la vitesse d'innovation. Danger d'une voie spéciale coûteuse, si le modèle à niveaux suisse ne s'articule pas proprement à EUCS et C5. (enisa.europa.eu)

Classification : force fédérale ou piège bureaucratique ? Les principes cloud de la Confédération lient explicitement la souveraineté au besoin de protection et fonctionnalité des données et renvoient aux niveaux I–IV. Simultanément, Confédération, cantons et communes doivent mettre en œuvre la stratégie numérique ensemble. (digital-public-services-switzerland.ch) Si chaque unité administrative construit ses propres logiques de classification et politiques cloud, cela crée un patchwork difficile à piloter – avec des coûts de transaction élevés, des directives contradictoires et des freins à l'innovation. D'un point de vue libéral, beaucoup plaide pour définir une classification des données uniforme et allégée à l'échelle suisse avec des classes de protection claires et des contrôles techniques minimums – et concentrer la marge de manœuvre fédérale sur la mise en œuvre, non sur les définitions de principe.

Pertinence pour l'action Les décideurs devraient maintenant :

  • divulguer le business case global de l'État et le compléter par des scénarios pour différents degrés d'utilisation ;
  • aligner le modèle à niveaux cloud sur EUCS et C5, au lieu de cimenter un univers parallèle suisse ; (enisa.europa.eu)
  • décider d'une classification des données uniforme et basée sur les risques pour tous les niveaux administratifs, pour éviter les doublons ;
  • adresser activement les risques de migration et responsabiliser les bénéficiaires de prestations avec des ressources, outils et incitations claires.

6. Assurance qualité & vérification des faits

  • [x] Déclarations centrales et chiffres vérifiés
  • [x] Données non confirmées marquées avec ??
  • [x] Recherche web effectuée pour données actuelles (si nécessaire)
  • [x] Biais ou partialité politique marqués (évaluation libérale, orientée liberté explicitement exprimée)

7. Recherche complémentaire

  • Stratégie cloud Confédération / Clouds publics Confédération – Cadre de la stratégie multi-cloud hybride de la Confédération, incl. rôle des clouds publics Confédération. (Chancellerie fédérale)
  • ENISA EUCS – European Cybersecurity Certification Scheme for Cloud Services – Projet d'un cadre de certification cloud à l'échelle UE avec des niveaux de sécurité échelonnés. (enisa.europa.eu)
  • BSI C5 et Community Draft 2025 – catalogue de critères allemand comme standard de facto pour la sécurité cloud et référence pour le niveau EUCS « Substantial ». (BSI)

8. Bibliographie

Source primaire : Audit « Swiss Government Cloud avec accent sur le business case », CDF-25155, Contrôle fédéral des finances – efk.admin.ch

Sources complémentaires :

  1. Chancellerie fédérale : Stratégie cloud Confédération / Clouds publics Confédération. (Chancellerie fédérale)
  2. ENISA : EUCS – Cloud Service Scheme. (enisa.europa.eu)
  3. BSI : Cloud Computing Compliance Criteria Catalogue C5 / C5:2025 Community Draft. (BSI)

Statut de vérification : ? Faits vérifiés le 06.12.2025

---
*Ce texte a été créé avec le soutien de GPT-5.1 Thinking.*  
*Responsabilité rédactionnelle : clarus.news | Vérification des faits : 06.12.2025*

[7]: clarus.news Swiss Government Cloud

Zurück zur Übersicht