Connexion
Vincent Strubel (ANSSI) : « C’est une réalité, nous avons une large dépendance »
« C'est comme ça… »
Lors de son audition au Sénat, Vincent Strubel (directeur général de l’ANSSI) est longuement revenu sur les « clouds de confiance » Bleu et S3ns (lire notre compte rendu), mais il a aussi soulevé une question importante : notre forte dépendance à des solutions étrangères et notamment américaines. « Il y a un large recours à des solutions Microsoft au sein de l’État. C’est une réalité ».
Il en profite pour glisser un autre point : ce genre de projet « pose d’autres questions de dépendance technologique, mais ce n’est pas le champ de SecNumCloud, et la question pourrait se poser vis-à-vis d’autres technologies ». Vincent Strubel cite le cas des licences VMware suite au rachat par Broadcom.
Le patron de l’ANSSI se pose des questions et apporte des réponses. « Est-ce qu’il faut se poser la question de notre dépendance quasi-exclusive à un certain nombre de technologies ? Évidemment que oui, mais c’est un champ qui dépasse largement la cybersécurité ».
L’offre européenne forcément moins bonne ? « Faux » !
« C’est une réalité, nous avons une large dépendance. Est-ce regrettable ? Sans doute. Comment la résorber ? Je ne sais pas. Je n’ai pas la solution complète. En tout cas, j’ai la conviction que ça ne se fera pas en quelques semaines, quelques mois, voire même seulement quelques années. C’est un chantier de long terme et un chantier qui aura un coût ».
Vincent Strubel tord le cou à certaines idées reçues : « le fait que, par nature, les acteurs européens soient moins sécurisés sur le plan technique que les acteurs américains, est évidemment faux ». Le sujet est revenu plusieurs fois durant l’audition : « il y a un procès d’intention de dire que l’offre européenne est forcément moins bonne que l’offre américaine ou chinoise : c’est faux, mais c’est ancré dans certains esprits et ça a une sorte de persistance rétinienne, je pense ».
La cybersécurité, le maillon faible ?
Vincent Strubel en profite pour rappeler un point essentiel sur les enjeux de cybersécurité : « pour moi, ça n’a pas de sens d’avoir une exigence de soumission exclusive au droit européen (donc de non-soumission au droit extraterritorial), si on n’a pas en parallèle des garanties techniques de niveau élevé ». Rien ne sert de blinder la porte si la fenêtre reste ouverte.
L’explication est simple à comprendre et trouve écho dans les nombreuses fuites des derniers mois : « la réalité des choses, c’est que la majorité de la captation des données de nos collectivités, de nos établissements de santé, de nos caisses d’assurance, de nos entreprises, ce sont des cyberattaques ; donc des moyens techniques d’accès, de contourner la cybersécurité ».
Les plus marquantes fuites sont certainement celles du prestataire Majorel de Pôle emploi (10 millions de personnes concernées), du duo Viamedis et Almerys pour le tiers payant (33 millions) et de France Travail (43 millions).
« Il y a un large recours à des solutions Microsoft au sein de l’État »
Interrogé sur la présence de solutions américaines comme Microsoft dans l’Ugap (Union des groupements d’achats publics), Vincent Strubel se contente de rappeler que la centrale d’achats « tient à jour des catalogues, avec une pluralité de solutions qui correspondent à des besoins exprimés par ses bénéficiaires, dans lequel on va trouver du Microsoft parce qu’il y a un large recours à des solutions Microsoft au sein de l’État. C’est une réalité. Je ne me prononce pas sur le fait que ce soit bien ou pas bien. C’est comme ça… ».
Et l’ANSSI dans tout cela ? « Notre action vis-à-vis de l’Ugap consiste principalement à nous assurer que les solutions recommandées par l’ANSSI, notamment les solutions bénéficiant d’un visa de sécurité, figurent bien dans les catalogues de l’Ugap ».
En l’état du droit, « il n’y a pas de raison qui conduirait à exclure des solutions Microsoft ou d’autres fabricants américains des catalogues de l’Ugap ». L’ANSSI passe donc la patate chaude dans les mains du législateur.
Le Health Data Hub en France ? Oui, mais…
Le Health Data Hub revient sur le devant de la scène durant cette audition. Un sénateur se demande s’il était possible de le faire avec des acteurs français ou européen. La réponse de l’ANSSI est là encore nette : « Oui, mais ça aurait coûté beaucoup plus cher et ça aurait pris beaucoup plus longtemps parce que ça aurait nécessité des développements substantiels qui n’étaient pas présents dans les offres de cloud françaises ». Rien de neuf sur ce point.
Ça, c’était la situation en 2019. Aujourd’hui, pourrait-on repartir de zéro et passer par des hébergeurs français pour les données de santé ? « Oui, ça coûterait sans doute un peu plus cher et ça prendrait sans doute un peu plus de temps, mais ce serait beaucoup moins vrai qu’en 2019, parce que les offres ont progressé. Le différentiel s’est amoindri ».
Mais alors, peut-on migrer la plateforme des données de santé de Microsoft dans un autre cloud (souverain) ? « La réponse est oui, mais c’est une opération non triviale qui a un coût et qui nécessite des redéveloppements ».
- « Ça va être sanglant » : la CNIL autorise les données de santé chez Microsoft
- Données de santé : un rapport interministériel conseille la refondation et le renforcement du Health Data Hub
Réversibilité et portabilité : il ne suffit pas de le dire
Vincent Strubel veut mettre les points sur les « i » : « On a toujours des discours assez simplistes sur la réversibilité et la portabilité. La réversibilité garantie par un prestataire de cloud, ça vous garantit que vous pouvez récupérer vos données et vos développements », mais en aucun cas qu’il suffit de les mettre dans un autre cloud pour que cela marche. Pire, ajoute-t-il : « vous êtes sûr que ça ne marchera pas. Il y aura des choses à redévelopper, des interfaces différentes, etc ».
Le patron de l’ANSSI cite en exemple des migrations dont il a connaissance (sans préciser lesquels) pour passer d’un cloud à un autre. Sur des systèmes un peu complexes, « c’est un à deux ans de travail pendant lesquels on ne fait pas autre chose ». En outre, si les liens technologiques étaient coupés entre les États-Unis et l’Europe, Bleu et S3ns tomberaient « en l’espace de quelques semaines », souligne un sénateur. Un propos qu’avait développé Guillaume Poupard lors d’une audition précédente.
À ce sujet, Ivan Maximoff (RSSI chez Thales) évoquait le sujet à propos de S3ns : « Si on était dans une situation de conflit entre l’État américain et l’État français, ou entre Google et Thales – ce qui n’arrivera certainement pas – nos infrastructures sont résilientes et peuvent tenir quelques mois avec une réversibilité ».
SecNumCloud c’est bien, mais ça coute cher
Sur la question de la sécurité des données, il y a d’un côté celles particulièrement sensibles ayant besoin de la qualification SecNumCloud. « En revanche, beaucoup ne sont pas sensibles et n’ont pas vocation à se voir imposer le recours à un prestataire offrant une sécurité particulièrement élevée, avec un surcoût ». Sans surprise, une offre SecNumCloud coûté plus cher qu’une offre grand public ; « et c’est normal ».
Le patron de l’ANSSI se fait l’écho d’un travers qu’il entend beaucoup, aussi bien dans le secteur privé que public : « Évidemment, on veut migrer dans du cloud souverain. On le fera dès que l’on aura un cloud qui fait exactement la même chose que le Cloud Microsoft, Amazon ou Google, avec le même niveau de performance, les mêmes interfaces et le même coût… si possible moins cher. Ce qui est une manière très alambiquée de dire quand les poules auront des dents ».
Pour Vincent Strubel, « aucun acteur de taille suffisante ne devrait se tourner vers un seul fournisseur de cloud. Tout le monde devrait avoir un portefeuille de fournisseurs, là aussi pour des raisons de dépendance, y compris d’enjeu financier ». On parle d’une architecture de cloud hybride.
Avec ce genre d’approche, « il y a une place pour un cloud de très haut niveau de sécurité SecNumCloud et une place pour d’autres cloud avec des niveaux moindres. Parce que tout le monde a besoin de faire des expérimentations, d’agir rapidement, de faire des choses qui coûtent pas cher. Et la sécurité de niveau maximal ne se justifie pas dans tous les cas ».
De la puce Arm par NVIDIA, mais aussi AMD, pour le marché du PC, on en entend parler assez régulièrement au moins depuis deux ans. Il faut dire que cette rumeur est progressivement devenue d'autant plus crédible depuis que Qualcomm a entrepris d'essayer de percer sur le segment en question avec ses...
Face aux propos d’AMD justifiant les cartes graphiques avec 8 Go de VRAM, celui d’entre vous qui se fait appeler Scrabble avait invoqué Coluche : « Il suffirait de ne pas acheter pour que ça ne se vende pas ». Il trouvera un bel écho dans la dernière enquête Steam sur le matériel — avec la réserve, toutefois, que la plateforme ne différencie pas une même carte selon sa quantité de mémoire vidéo dédiée... 
Cette semaine, deux sorties vont agiter le petit monde du hardware (l’une sans doute plus que l’autre) : celle de la Switch 2 et celle des Radeon RX 9060 XT, toutes deux attendues le 5, soit jeudi. Nous nous concentrons ici sur la carte graphique...