Warum haben wir uns für den Qualifizierungsprozess entschieden?
In einem globalen Kontext der Auslagerung von Informationssystemen sind sich die französischen Unternehmen allmählich des Wertes von Informationen bewusst geworden und betrachten sie nun als ein Element der Leistungsfähigkeit im Unternehmen.
Daten sind ein Produkt der Werte, die durch Teilen und Austauschen entstehen, und müssen sowohl vertraulich als auch verfügbar sein. Französische Unternehmen verfolgen je nach Art der Geschäftsprozesse unterschiedliche Strategien zur Verwaltung der Sicherheit ihres Informationsbestands, die sowohl durch gesetzliche Bestimmungen als auch durch die Anforderungen ihrer Kunden bestimmt werden.
Die Architekturen der Informationssysteme werden nach und nach hybrid, indem sie sowohl öffentliche Cloud-Infrastrukturen als auch private Cloud-Infrastrukturen und internalisierte Hostings miteinander vermischen.
In den letzten zwei Jahren haben sich die Nutzungsgrenzen zwischen öffentlichen und privaten Clouds jedoch zunehmend verwischt, und Vergleiche der Sicherheitsniveaus zwischen den beiden sind heute eher eine Expertendiskussion. Die Realität des Schutzes von Unternehmensinformationen in einem komplexen internationalen Kontext verlangt von Anbietern privater Infrastrukturen, dass sie über Angebote verfügen, die sich hinsichtlich des Sicherheitsniveaus stark voneinander unterscheiden. Dies ist sowohl eine Notwendigkeit für die Anbieter als auch für die Kunden.
Cloud Temple (ehemals Intrinsec) ist der Ansicht, dass es ein wesentliches Element seiner Strategie ist, dem Markt ein Angebot an privaten Infrastrukturen anzubieten, die sich auf das Referenzsystem SecNumCloud stützen und von industrieller Qualität sind. Dies wird durch die Ankündigungen der Regierung vom 17. Mai 2021 zur Cloud-Politik Frankreichs, zur Souveränität und zu vertrauenswürdigen Clouds noch verstärkt.
In der Kontinuität der Ansätze ISAE 3402, ISO 27001.2013Cloud Temple hat die Entscheidung getroffen, sein Secure Temple-Angebot zu schaffen, um eine Referenz auf dem französischen Markt für die Implementierung des SecNumCloud-Repository zu werden.
Wie hat Cloud Temple daran gearbeitet, die Qualifikation zu erlangen?
Eine stark gesponserte Qualifikation auf der höchsten Ebene von Cloud Temple
Der SecNumCloud-Qualifizierungsprozess war eine strategische Priorität, die einen starken Willen innerhalb der Generaldirektion von Cloud Temple widerspiegelt. Die Qualifizierungsbemühungen waren eine große und vorrangige Aufgabe für Cloud Temple und führten zu Investitionen in Höhe von Hunderttausenden von Euro über einen Zeitraum von drei Jahren.
Das gesamte Cloud-Angebot von Temple steigt rigoros!
Die Bereitstellung des qualifizierten Dienstes Secure Temple ist kein weiterer Dienst innerhalb des Katalogs des Cloud-Temple-Angebots. Es handelt sich hierbei um einen Versuch, das gesamte Angebot von Cloud Temple umzugestalten und zu verschärfen.
Im Rahmen seiner Qualifizierungsbemühungen hat Cloud Temple seine gesamte Architektur weiterentwickelt, um den Anforderungen des SecNumCloud-Referenzsystems zu entsprechen, anstatt eine "Enklave" zu schaffen, die die Einschränkungen des Referenzsystems respektiert. Cloud Temple möchte allen seinen Kunden die Möglichkeit bieten, ihre Operationen auf das Secure Temple-Angebot zu migrieren.
Qualifikation als Beweis für interne Talente und Fähigkeiten bei Cloud Temple
Das Cloud Temple Security Team, das dem Leiter der Abteilung für Cybersicherheit unterstellt ist, Giuliano IPPOLITI Er arbeitete aktiv an dem Qualifikationsprojekt mit. Der CISO und sein internes SSI-Team sind hierarchisch der Generaldirektion unterstellt. Die Bemühungen des ISS-Teams wurden von den Teams, die für die Produktion, Verwaltung, Entwicklung und Wartung der Infrastruktur verantwortlich sind, sowie von den internen Entwicklungsteams übertroffen, die alle Projekte produzierten, die das Funktionieren und die Differenzierung des Secure Temple-Angebots ermöglichen.
Für Cloud Temple ist es entscheidend, dass die Kompetenzen in allen Phasen think/design/build/run sowohl bei der Infrastruktur als auch bei der Softwareentwicklung internalisiert werden. Der Secure Temple Service (im Speziellen) und der Betrieb von Cloud Temple (im Allgemeinen) sind praktisch nicht von externen Entwicklungen abhängig.
Cloud Temple und die Doktrin "Cloud im Zentrum" des Staates
Die am 17. Mai 2021 von Bruno LE MAIRE, Wirtschafts- und Finanzminister, Amélie DE MONTCHALIN, Ministerin für Transformation und den öffentlichen Dienst, sowie Cédric O, Staatssekretär für den digitalen Übergang und elektronische Kommunikation, angekündigte Doktrin Frankreichs heißt "Cloud im Zentrum".
Zu den grundlegenden Achsen dieser neuen Doktrin gehört, dass die Cloud nunmehr die Standard-Hostingmethode für digitale Projekte der staatlichen Verwaltungen ist.
Die Cloud-Strategie Frankreichs für Behörden und private Unternehmen wird auf drei Säulen beruhen, die darauf abzielen, ein Konzept der "vertrauenswürdigen Cloud" zu schaffen:
- Schutz, in einem technischen Aspekt des Datenhostings über die SecNumCloud-Qualifizierung und in einem rechtlichen Aspekt vor ausländischen (insbesondere amerikanischen) Gesetzen mit extraterritorialem Charakter über die Vorgabe, dass die Daten in Frankreich gehostet werden müssen und dass die Art und das Eigentum der Unternehmen in Europa liegen müssen. Diese Bestimmungen schützen insbesondere vor dem Abgreifen europäischer Daten durch ausländische Stellen.
- Zugang zu den besten auf dem Weltmarkt verfügbaren Cloud-Diensten durch die Verwendung eines Lizenzierungsmechanismus, der es französischen Unternehmen und Behörden ermöglicht, amerikanische Lösungen zu nutzen und dabei seine Souveränität zu schützen. Dieser Bias soll die Unternehmen dazu bringen, sich anzuschließen, im Gegensatz zu früheren Versuchen, eine souveräne Cloud zu schaffen, die gescheitert sind.
- Eine Übereinstimmung mit den Initiativen im Bereich der Cloud auf europäischer Ebene und insbesondere mit der europäischen Strategie von GAIA-X.
Die Clouds, die diese Doktrin und Strategie erfüllen können, werden ausschließlich :
- Die interne Cloud des Staates.
- Private Cloud-Anbieter, die von der ANSSI als SecNumCloud qualifiziert wurden, "die somit vor allen extraterritorialen Regeln schützen".
Diese Doktrin wird auf alle bereits begonnenen Projekte der Behörden angewendet, die ab dem Zeitpunkt, an dem es "Trusted Cloud"-Angebote gibt, 12 Monate Zeit haben, um sich an die Vorgaben anzupassen.
Diese Ankündigungen bestärkten Cloud Temple in seinem seit 2019 eingeleiteten Qualifizierungsprozess und seinem Ansatz, der aus einer tiefgreifenden Transformation seiner Abläufe besteht, die auf sein gesamtes IaaS-Angebot anwendbar ist.
Cloud Temple hat auch Europa im Blick
Die getätigten Investitionen und die Herangehensweise von Cloud Temple an die SecNumCloud-Qualifizierung stellen mittelfristig eine Garantie für die Wettbewerbsfähigkeit auf europäischer Ebene im Vorgriff auf gemeinschaftliche Zertifizierungsschemata dar, wie z. B. das European Cybersecurity Certification Scheme for Cloud Services.
Dieses Zertifizierungsschema ist einer der Grundbausteine des europaweit harmonisierten Zertifizierungsrahmens für Cybersicherheit, der im Cybersecurity Act festgelegt wurde und von der ENISA getragen wird. Ein Entwurf dieses Schemas wurde bereits Anfang 2021 veröffentlicht und besteht aus drei Versicherungsstufen: grundlegend, wesentlich und hoch.
Die hohe Stufe ist für sensiblere Anwendungen gedacht, z. B. für Regierungsanwendungen oder Anwendungen, die besonders sensible persönliche Daten verarbeiten. Diese Stufe ist für Dienste konzipiert, die erfahrenen Angreifern mit erheblichen Mitteln widerstehen müssen. Sie umfasst insbesondere Elemente des SecNumCloud-Bezugsrahmens sowie weitergehende Automatisierungspflichten.
Das SecNumCloud-Referenzsystem wird verstärkt, um ein umfassendes Vertrauen in die Lösungen zu schaffen, sowohl aus technischer und betrieblicher Sicht, wie es bereits der Fall ist, als auch um die Rechtssicherheit von Cloud-Angeboten zu klären [...] Überprüfen Sie insbesondere die Immunität der Lösungen gegenüber nicht-europäischen Rechten. Dies ist, zur Erinnerung, eine der Säulen der vertrauenswürdigen Cloud.
Schließlich bestätigt Guillaume POUPARD auch, dass SecNumCloud zugunsten eines europäischen Schemas zurücktreten wird, "an dem Tag, an dem wir ein europaweites Bewertungsschema für Cloud-Dienste auf hohem Niveau haben werden".
Diese Aussichten bestärken Cloud Temple einmal mehr in seinem Ansatz, alle seine Operationen auf ein strenges, sicheres und anspruchsvolles Niveau zu bringen, das mit SecNumCloud konform ist, und daraus eine "Business As Usual"-Kultur innerhalb seiner Teams und für seine Kunden zu machen. Vertrauen und Souveränität sind kein Luxus, sondern eine Grundvoraussetzung!