Vincent Strubel, chefe da Anssi, levou o seu pessoal de peregrino a relembrar o que é o rótulo SecNumCloud (SNC), após a certificação SNC da oferta de nuvem híbrida do Google e Thalès. Pela primeira vez, em meados de dezembro, uma oferta que associava um gigante americano a uma empresa francesa recebeu esta certificação que, até agora, só era concedida a empresas francesas: um clamor para os defensores da soberania digital francesa e europeia.
“ Não é uma medalha de chocolate “. Em um longo post publicado terça-feira, 6 de janeiro em sua conta no LinkedIn, Vincent Strubel, diretor-geral da Agência Nacional de Segurança de Sistemas de Informação (Anssi), quis relembrar o que significa a qualificação SecNumCloud (SNC), a mais alta certificação de segurança cibernética do Estado.
Em sua postagem destinada a acalmar a polêmica, depois que a aliança Google-Thalès recebeu esse rótulo em meados de dezembro, o chefe do policial francês de segurança cibernética deixou claro: o SNC é “ uma ferramenta de segurança cibernética, não uma política industrial “. Se constituir “ uma alavanca essencial para defender a nossa soberania digital”, isso não resolve “todas as questões de dependências » (estrangeiros).
No dia 17 de dezembro, a S3NS, joint venture fundada pelo grupo de defesa francês Thalès e pelo gigante da nuvem Google, recebeu oficialmente a certificação SecNumCloud 3.2 da ANSSI (SNC). A empresa francesa, detida maioritariamente por Thalès, é a primeira empresa envolvendo um gigante americano a receber este Santo Graal, destinado a proteger dados sensíveis contra espionagem económica ou estatal.
Leia também: Uma novidade: a aliança Google-Thalès du Cloud recebe a mais alta certificação de segurança cibernética do Estado
“1200 requisitos (“pontos de verificação”) verificados in situ por um avaliador independente”
A notícia não deixou de suscitar polémica, pela presença de uma empresa norte-americana num contexto geopolítico de apelos a maior independência e soberania digital europeia. Na prática, este selo SNC permitirá à empresa híbrida, criada em 2022, aceder a mercados sensíveis (regulares, defesa, saúde) “reservados” até agora a nove empresas francesas, únicas detentoras desta certificação. Esta qualificação foi descrita como absurda por alguns, abrindo um mercado estratégico para os gigantes americanos.
Mas para o diretor-geral da Anssi, a polémica tem sobretudo “ revelou implicitamente alguns mal-entendidos persistentes sobre o que o SecNumCloud faz ou não faz “. A certificação não é “ nem uma decisão arbitrária nem uma escolha política: resulta de um processo formalizado de avaliação da segurança da solução candidata », Escreve o chefe do policial francês de segurança cibernética. Vincent Strubel cita em particular o “ 1.200 requisitos (“pontos de controle”) verificados in loco por avaliador independente, atuando sob o controle da ANSSI “.
Concretamente, o SNC impõe à sociedade “ sede e capitalização » Europeus. Se subcontratantes ou fornecedores não europeus estiverem direta ou indiretamente envolvidos na oferta de nuvem, não devem ter acesso aos dados dos clientes: um ponto particularmente importante para a imunidade de leis extraterritoriais, um critério do SNC (mas longe de ser o único).
Todas as empresas americanas estão sujeitas ao Cloud Act, à lei Fisa, etc., legislação que obriga estas empresas a comunicar dados sensíveis, incluindo dados europeus, à administração americana. Este ponto deveria ter excluído do SNC qualquer empresa americana e, portanto, qualquer oferta “híbrida”, segundo alguns.
Leia também: Soberania europeia: as empresas poderão em breve utilizar este novo índice de dependência das ferramentas dos EUA
Sem acesso aos dados, portanto, sem comunicação forçada de dados
Mas para Vincent Strubel, “ como parte de uma oferta “híbrida” qualificada » como o do SN3S, associando uma empresa americana, “o fornecedor da tecnologia em nuvem está (bem) sujeito às leis americanas”. Mas ele “não tem acesso aos dados”. Ele “não pode, portanto, dar seguimento a uma liminar » da administração americana. Da mesma forma, o SNC protege contra o risco do “kill switch”, o facto de ver os serviços digitais americanos cortados brutalmente por Washington, inclusive numa oferta envolvendo uma empresa americana, segundo o diretor-geral da Anssi.
Este risco foi realçado depois de o Tribunal Penal Internacional, com sede em Haia, nos Países Baixos, ter visto o seu acesso aos serviços da Microsoft ser abruptamente cortado, na sequência de sanções impostas por Washington. Contudo, para obter o selo SNC, a empresa candidata deverá, de facto, ser “ capaz de executar (sua solução em nuvem Nota do editor) com recursos e habilidades próprios, sem intervenção externa », escreve ele. Ela portanto “ teve que demonstrar autonomia na exploração da tecnologia », uma autonomia que o protege de possíveis cortes unilaterais. Mas esta autonomia não é absoluta: SNC” não significa ausência de dependência », lembra Vincent Strubel.
Leia também: “Os americanos criam universos, a Europa vende soluções”, o chefe do Campus Cyber tem um plano para a cibersegurança francesa
Ninguém é “completamente autossuficiente”
Para o diretor da Anssi, nenhum provedor de nuvem, envolvendo ou não uma empresa americana, está em “ auto-suficiência completa “. Todos são baseados em “ fornecedores não europeus “, tudo depende” componentes eletrônicos (CPU, GPU, etc.) e software (sistemas operacionais, bancos de dados, camadas de orquestração, etc.) cujo design ou atualização não é 100% controlado na Europa “. Mesmo que, ele admite, “ uma oferta dita “híbrida” do SecNumCloud está sem dúvida mais exposta » (correndo o risco) de “ cortando o acesso a esses provedores e atualizações associadas “.
Além da questão do direito extraterritorial, assunto que seria excessivamente comentado, como sugere Vincent Strubel, o SNC também responde a outros riscos. Começando pelos ataques cibernéticos, que “ continuam a ser a ameaça mais tangível aos usos sensíveis da nuvem “. Assim a referência “ impõe requisitos muito restritivos à arquitetura e às características técnicas da nuvem: forte particionamento entre os diferentes clientes, cadeia de administração e supervisão isolada do resto, gestão segura de atualizações, criptografia sistemática de dados em repouso e em trânsito, etc. », enumera o diretor-geral da agência de cibersegurança.
Sua longa postagem não encerrou as críticas. Para Sylvain Rutten, ex-chefe da divisão de infraestrutura e segurança em nuvem da Docaposte, que falou em mensagem publicada no LinkedIn, “ A extraterritorialidade americana não pode ser desativada por um comunicado de imprensa “.
“ Aplica-se assim que existe jurisdição, alavanca de controle ou dependência tecnológica. (…) Se os componentes críticos, editores, cadeias de suporte, atualizações e dependências estruturantes permanecerem sob influência americana, então não é uma nuvem confiável. É uma nuvem de obediência. E aqueles que afirmam que a lei é suficiente para nos proteger não estão a defender a soberania. ele abordou.
Para Alain Issarni, ex-chefe do clouder francês NumSpot, o “ A qualificação do SecNumCloud não é suficiente para eliminar a dependência estrutural de players estrangeiros », já escreveu em novembro passado, deplorando “ uma forma de lavagem legal da GAFAM “. Hoje, ” a questão não é mais apenas técnica, mas geopolítica e industrial », disse ele no LinkedIn, após o anúncio do S3NS em dezembro passado. “ Quando haverá uma verdadeira estratégia francesa e europeia para uma nuvem soberana, resiliente e independente? », questiona.
Leia também: “Não temos dependência tecnológica” dos Estados Unidos, segredo da Outscale revelado por seu CEO
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.