NIST

Le NIST, National Institute of Standards and Technology, est l’agence fédérale américaine de normalisation, rattachée au département du Commerce. Son rôle dépasse l’informatique : il fixe des standards de mesure et de référence dans des domaines très divers. En matière de cloud, son apport tient à un document court et précis, la publication spéciale SP 800-145, parue en 2011.

Cette publication a tranché un débat que le marché entretenait dans le flou. Avant elle, chacun appelait « cloud » à peu près ce qu’il voulait vendre. SP 800-145 pose une définition stable : le cloud computing repose sur cinq critères qui doivent être réunis ensemble. Le self-service à la demande, le client provisionne ses ressources seul, sans intervention humaine du fournisseur. L’accès réseau large, les ressources sont disponibles via des mécanismes standards. La mutualisation, un même parc physique sert plusieurs clients. L’élasticité rapide, la capacité monte et descend en quasi-temps réel. Le service mesuré, l’usage est compté et facturé à la consommation.

Cette définition est devenue la référence mondiale, reprise bien au-delà des États-Unis, parce qu’elle est neutre et vérifiable. Elle ne décrit pas un produit, elle décrit un modèle de fourniture. C’est ce qui la rend utile pour trier les offres : un service qui ne coche pas les cinq cases relève d’autre chose, hébergement dédié ou infogérance, même si le mot « cloud » figure sur la brochure.

Pour la souveraineté, cette grille change la conversation. Le contrat n’est pas le même selon qu’on loue un raccordement élastique facturé à l’usage ou une machine au mois. La dépendance, la réversibilité, le droit applicable ne se posent pas dans les mêmes termes. Vérifier qu’une offre coche réellement les cinq critères du NIST, c’est savoir de quel objet on parle avant de discuter de qui le contrôle. Note sur une éventuelle « version 2 » : à ce jour, aucune révision officielle de SP 800-145 n’a été publiée par le NIST pour remplacer le texte de 2011, qui reste la référence en vigueur.