Anssi'nin başkanı Vincent Strubel, Google ve Thales'in hibrit bulut teklifinin SNC sertifikasyonundan sonra hacı ekibine SecNumCloud (SNC) etiketinin ne olduğunu hatırlattı. İlk kez Aralık ortasında, bir Amerikan devini bir Fransız şirketi ile ilişkilendiren bir teklif, şu ana kadar yalnızca Fransız şirketlerine verilen bu sertifikayı aldı: Fransız ve Avrupalı dijital egemenliğin savunucuları için bir haykırış.
“ Bu çikolata madalyası değil “. Ulusal Bilgi Sistemleri Güvenlik Ajansı (Anssi) genel müdürü Vincent Strubel, 6 Ocak Salı günü LinkedIn hesabında yayınlanan uzun bir gönderide, eyaletteki en yüksek siber güvenlik sertifikası olan SecNumCloud (SNC) yeterliliğinin ne anlama geldiğini hatırlatmak istedi.
Google-Thalès ittifakının Aralık ayı ortasında bu etiketi almasının ardından, tartışmayı yatıştırmayı amaçlayan gönderisinde, Fransız siber güvenlik polisinin patronu bunu açıkça ifade etti: SNC “ sanayi politikası değil, siber güvenlik aracı “. Eğer “ Dijital egemenliğimizi savunmak için önemli bir kaldıraç”, çözmüyor “bağımlılıkla ilgili tüm sorular » (yabancılar).
Fransız savunma grubu Thalès ve bulut devi Google tarafından kurulan ortak girişim olan S3NS, 17 Aralık'ta resmi olarak ANSSI'den (SNC) SecNumCloud 3.2 sertifikasını aldı. Çoğunluğu Thales'e ait olan Fransız şirketi, hassas verileri ekonomik veya devlet casusluğundan korumayı amaçlayan bu Kutsal Kase'yi alan bir Amerikan devinin dahil olduğu ilk şirkettir.
Ayrıca okuyun: Bir ilk: Google-Thalès du Cloud ittifakı eyaletteki en yüksek siber güvenlik sertifikasını aldı
“Bağımsız bir değerlendirici tarafından yerinde doğrulanan 1200 gereklilik (“kontrol noktası”)
Haber, daha fazla bağımsızlık ve Avrupa'nın dijital egemenliği çağrılarının yapıldığı jeopolitik bağlamda bir Amerikan şirketinin varlığı nedeniyle tartışmalara yol açmayı ihmal etmedi. Uygulamada, bu SNC etiketi, 2022 yılında kurulan hibrit şirketin, şimdiye kadar bu sertifikanın tek sahibi olan dokuz Fransız şirketine “ayrılmış” hassas pazarlara (normal, savunma, sağlık) erişmesine olanak tanıyacak. Bazıları tarafından saçmalık olarak nitelendirilen bu niteleme, Amerikan devlerine stratejik bir pazar açıyordu.
Ancak Anssi'nin genel müdürü için bu tartışma her şeyden önce “ SecNumCloud'un ne yaptığı ya da yapmadığı konusunda bazı kalıcı yanlış anlaşılmaları örtülü olarak ortaya çıkardı “. Sertifika “ değil ne keyfi bir karar ne de siyasi bir tercih: aday çözümün güvenliğini değerlendirmeye yönelik resmileştirilmiş bir süreçten kaynaklanıyor », Fransız siber güvenlik polisinin patronu yazıyor. Vincent Strubel özellikle şunları aktarıyor: “ ANSSI'nin kontrolü altında hareket eden bağımsız bir değerlendirici tarafından yerinde doğrulanan 1.200 gereksinim (“kontrol noktası”) “.
Somut olarak, SNC topluma empoze ediyor “ bir merkez ofis ve büyük harf kullanımı » Avrupalılar. Avrupalı olmayan alt yüklenicilerin veya tedarikçilerin doğrudan veya dolaylı olarak bulut teklifine dahil olmaları durumunda, müşteri verilerine erişimleri olmamalıdır: ülke dışı yasalardan muafiyet açısından özellikle önemli bir nokta, SNC'nin bir kriteri (ancak tek kriter olmaktan çok uzak).
Tüm Amerikan şirketleri, bu şirketleri Avrupa verileri de dahil olmak üzere hassas verileri Amerikan yönetimine iletmeye zorlayan Bulut Yasası, Fisa yasası vb. mevzuata tabidir. Bazılarına göre bu nokta, herhangi bir Amerikan şirketini ve dolayısıyla her türlü “hibrit” teklifi SNC'nin dışında bırakmalıydı.
Ayrıca şunu okuyun: Avrupa egemenliği: şirketler yakında ABD araçlarına olan bu yeni bağımlılık endeksini kullanabilecek
Verilere erişim yok, dolayısıyla verilerin zorunlu iletişimi yok
Ancak Vincent Strubel için “ nitelikli bir “hibrit” teklifin parçası olarak » SN3S'in bir Amerikan şirketi ile ortaklığı gibi, “Bulut teknolojisinin sağlayıcısı (iyi) Amerikan yasalarına tabidir”. Ancak “verilere erişimi yok”. “Dolayısıyla bir ihtiyati tedbiri takip edemez” » Amerikan yönetiminden. Benzer şekilde SNC, Anssi'nin genel müdürüne göre, bir Amerikan şirketinin dahil olduğu bir teklif de dahil olmak üzere, Amerikan dijital hizmetlerinin Washington tarafından acımasızca kesildiği gerçeğini, yani “kill switch” riskine karşı koruma sağlıyor.
Bu risk, merkezi Hollanda'nın Lahey kentinde bulunan Uluslararası Ceza Mahkemesi'nin, Washington tarafından uygulanan yaptırımların ardından Microsoft hizmetlerine erişiminin aniden kesildiğini görmesiyle ortaya çıktı. Ancak SNC etiketini alabilmek için aday firmanın aslında “ (bulut çözümü Editörün notu) harici müdahale olmadan kendi kaynakları ve becerileriyle çalıştırılabilir » diye yazıyor. Bu nedenle o “ teknolojinin kullanımında özerklik göstermek zorundaydı » olası tek taraflı kesintilerden koruyan bir özerklik. Ancak bu özerklik mutlak değil: SNC” bağımlılığın olmadığı anlamına gelmez », Vincent Strubel'i hatırlıyor.
Ayrıca okuyun: “Amerikalılar evrenler yaratıyor, Avrupa çözümler satıyor”, Campus Cyber patronunun Fransız siber güvenliği için bir planı var
Hiç kimse “tamamen kendi kendine yeterli” değildir
Anssi'nin yöneticisine göre, bir Amerikan şirketi içerse de içermese de hiçbir bulut sağlayıcısı “” tam kendi kendine yeterlilik “. Hepsi “ Avrupalı olmayan tedarikçiler “hepsi bağlıdır” Avrupa'da tasarımı veya güncellenmesi %100 kontrol edilmeyen elektronik bileşenler (CPU, GPU vb.) ve yazılımlar (işletim sistemleri, veritabanları, düzenleme katmanları vb.) “. Hatta şunu itiraf ediyor: ” sözde “hibrit” SecNumCloud teklifi şüphesiz daha fazla açığa çıkıyor » (risk altında) ” bu sağlayıcılara ve ilgili güncellemelere erişimin kesilmesi “.
Vincent Strubel'in önerdiği gibi aşırı yorumlanacak bir konu olan sınır ötesi hukuk sorununun yanı sıra, SNC başka risklere de yanıt veriyor. Siber saldırılarla başlayarak “ bulutun hassas kullanımlarına yönelik en somut tehdit olmaya devam ediyor “. Böylece referans “ Bulutun mimarisi ve teknik özelliklerine çok kısıtlayıcı gereksinimler getirir: farklı istemciler arasında güçlü bölümleme, diğerlerinden yalıtılmış yönetim ve denetim zinciri, güncellemelerin güvenli yönetimi, bekleyen ve aktarılan verilerin sistematik olarak şifrelenmesi vb. », Siber güvenlik kurumunun genel müdürünü listeler.
Uzun yazısı eleştirilere son vermedi. Docaposte'un bulut altyapısı ve güvenlik bölümü eski başkanı Sylvain Rutten, LinkedIn'de yayınlanan bir mesajda şunları söyledi: ” Amerika'nın sınır ötesiliği bir basın bülteniyle devre dışı bırakılamaz “.
“ Yargı yetkisi, kontrol gücü veya teknolojik bağımlılık olduğu anda uygulanır. (…) Kritik bileşenler, yayıncılar, destek zincirleri, güncellemeler ve yapılanma bağımlılıkları Amerika'nın etkisi altında kalırsa güvenilir bir bulut değildir. Bu bir itaat bulutudur. Ve hukukun bizi korumaya yeterli olduğunu iddia edenler egemenliği savunmuyorlar. mücadele etti.
Fransız bulut sağlayıcısı NumSpot'un eski patronu Alain Issarni için ” SecNumCloud yeterliliği yabancı oyunculara yapısal bağımlılığı ortadan kaldırmak için yeterli değil », geçen Kasım ayında üzüntüyle yazmıştı: “ GAFAM'ın yasal olarak aklanmasının bir şekli “. Bugün, ” mesele artık sadece teknik değil, jeopolitik ve endüstriyel », dedi geçen Aralık ayında S3NS duyurusunun ardından LinkedIn'de. “ Egemen, dayanıklı ve bağımsız bir bulut için gerçek bir Fransız ve Avrupa stratejisi ne zaman ortaya çıkacak? » diye soruyor.
Ayrıca şunu da okuyun: Outscale'in CEO'su tarafından açıklanan sırrı: ABD'ye “Teknolojik bağımlılığımız yok”
👉🏻 Teknoloji haberlerini gerçek zamanlı takip edin: 01net'i Google'daki kaynaklarınıza ekleyin ve WhatsApp kanalımıza abone olun.
Bir yanıt yazın