Au sein de Cloud Temple, la confiance numérique et la souveraineté numérique française et européenne sont des sujets qui passionnent, motivent et structurent les réflexions au-delà de la simple application d’un référentiel ou d’une norme.
De fait, pour Cloud Temple, la confiance et la souveraineté numériques ne se limitent pas à la localisation des données sur le sol européen ou français. C’est une mesure largement insuffisante, ne serait-ce que face à l’extraterritorialité des lois de certaines nations.
Quels sont les facteurs à prendre en compte ?
- Les enjeux contemporains du numérique liés à la valeur économique et stratégique des gisements exponentiels de données ne se tarissent pas avec le temps ou a l’usage
- Les enjeux liés aux données personnelles, à l’identité numérique et de plus en plus aux données de santé
- Les enjeux de guerre économique, d’avantages concurrentiels ou technologiques motivant des espionnages ou des vols numériques par cyberattaques ou vices légaux
- L’exploitation massive des données par les grands acteurs numériques pour la création de services extrêmement personnalisés pouvant aller jusqu’à la captivité des consommateurs finaux
- Les stratégies d’évitement de la juridiction du cadre légal européen par les géants du numérique
- La neutralité et la gratuité sur Internet
- L’indépendance ou au moins la réversibilité technologique par rapport à un éditeur ou une nation étrangère
La mise en œuvre organisationnelle et technique de cette confiance et de la conformité SecNumCloud soumise au tampon de la décision de qualification de l’ANSSI, fut un chantier majeur nécessitant de traiter plusieurs centaines de points organisationnels, procéduraux et surtout techniques. Il était indispensable de pousser les réflexions au plus loin dans l’application du principe de défense en profondeur lorsqu’il s’agit d’interpréter une exigence de sécurité. De plus les réflexions de modélisation des risques ont elles aussi été poussées au plus haut niveau, jusqu’à prendre en compte des menaces de niveau étatique et des scénarios d’attaque ou de sinistre que dans d’autres contextes, on penserait improbables. Enfin, la nécessité d’aborder les choix d’implémentation du service qualifié de manière éclairée et pragmatique, en visant le respect des principes structurants, qui représentent la ligne stratégique de Cloud Temple dont (pour n’en citer que trois) :
- La réflexion avant l’application aveugle de certaines exigences ou recommandations afin de prendre en compte le paysage des menaces et le gain global de sécurité et de fiabilité. C’est par exemple ce qui a conduit Cloud Temple à éliminer toute dépendance aux technologies Windows dans le SI portant le service en cours de qualification. Ce choix réduisant la surface d’exposition aux menaces.
- L’évitement maximal du sacrifice de la scalabilité, de l’automatisation, de la performance et l’utilisabilité technique en accord avec les enjeux opérationnels des clients de Cloud Temple. Les équipes et talents de Cloud Temple investissent des efforts considérables pour conjuguer sécurité maximale, conformité et réalités opérationnelles.
- L’évitement de dépendance et non réversibilités technologiques par rapport à un éditeur, une technologie ou une nation. C’est dans cet esprit que Cloud Temple, via les talents de ses équipes et la culture mise en place, promeut un savoir-faire interne qui lui permet d’être éditeur de sa propre Cloud Management Platform (SHIVA) et de sa propre infrastructure d’automatisation et d’industrialisation du service Secure Temple.