Thread by smetsjp

Jean-Paul Smets

Sat Oct 16 14:44:57 +0000 2021

1/14 Et si la vraie réponse était tout simplement la suppression de la qualification #SecNumCloud ainsi qu'une réforme de l'ANSSI dont les décisions semblent invariablement favoriser les technologies de cloud 🇺🇸 au détriment des technologies 🇪🇺.

Explications... https://t.co/B1YJ0Clp39

2/14 L'ANSSI n'a visiblement pas confiance dans les technologies européennes.

Le directeur de l'ANSSI déclarait en 2018 : "en toute objectivité, le développement logiciel n’est pas le point fort de la France et ne l’a jamais été"

https://t.co/rcaytOZYqm

3/14 On apprend grâce à @al_mercier et @Contexte que l'ANSSI assume le choix d'écarter implicitement les PME européennes car, selon son directeur, "il est quasiment impossible pour elles d’être qualifiées SecNumCloud." https://t.co/86tuwZJsfm

4/14 Toujours dans @Contexte l'ANSSI se fait promotrice des technologies de Microsoft en indiquant que "porter le HDH sur Bleu serait le plus simple, le moins coûteux, le plus conservateur en termes de développement"

5/14 Le marché public du @gouvernementFR exige #SecNumCloud ce qui restreint le choix technologique à VMWare et CISCO UCS, deux technologies 🇺🇸

Les technologies 🇪🇺OpenNebula, OpenSVC, ONAPP, Proxmox, SlapOS, Xen Orchestra sont exclues. Cc @EuclidiaEurope

https://t.co/n76zjXqUeW https://t.co/hlWvGWsHD6

6/14 La @_DINUM cite des technologies 🇺🇸 de bureautique mais oublie Jamespot, Netframe, Cryptpad, OnlyOffice, Talkspirit, Collabra, Polite, OpenXChange, Twake, Matrix, Whaller, Bluemind, Kopano, Threema, https://t.co/FNKANJB31U, Galène, Nextcloud, OODrive et bien d'autres. https://t.co/2LXbkbD79c

7/14 Rappelons que #SecNumCloud est une qualification par service. Si vous éditez un PaaS avec 100 services, il faudra parfois 100 qualifications avec derrière chacune, au moins un consultant chez vous et un fonctionnaire à l'ANSSI. DDoS administratif en vue.

8/14 Si vous êtes éditeur de SaaS et que vous l'hébergez sur un IaaS #SecNumCoud, il vous faudra quand même passer la qualification pour chaque service du SaaS.

9/14 La lourdeur de #SecNumCloud conduit ainsi à restreindre l'offre et l'Etat à mettre ses oeufs dans le même panier de technologies 🇺🇸. C'est contre-productif en termes de résilience ("single technology of failure") et donc de sécurité. C'est délétère en termes souveraineté.

10/14 Les offres de cloud les plus souveraines car fondées intégralement sur des technologies libres ou 🇪🇺 sont durablement écartées des marchés publics car il faut un à deux ans pour obtenir la qualification #SecNumCloud

https://t.co/NfrJP7D2CR

11/14 La "pensée ANSSI" doit être réformée en introduisant la notion de "sécurité par la diversité" pour répartir les risques. Dans de nombreux domaines (cloud, 5G, cyber, etc.), la "pensée ANSSI" favorise aujourd'hui les systèmes centralisés de grandes entreprises.

12/14 La centralisation conduit aux pannes globales et aux attaques qu'ont récemment subies Facebook, Azure, Github, OVH, etc. Les opérateurs 4G/5G subissent eux aussi des pannes globales en raison de leur coeur de réseau centralisé.

13/14 Les architectures décentralisées et la multiplication des fournisseurs permettent de réduire les risques de panne globale. Mais ce n'est pas viable économiquement avec #SecNumCloud car les petits fournisseurs ne peuvent amortir une qualification lourde sur quelques clients.

14/14 Si l'Etat souhaite accélérer les technologies 🇪🇺 de cloud, il est indispensable de supprimer la contrainte #SecNumCloud. Elle pourrait être accordée de droit aux PME 🇪🇺 opératrices de technologies 🇪🇺qui s'engagent à la transparence et à un audit ultérieur. D'autres idées?

Sat Oct 16 14:45:07 +0000 2021