Vincent Strubel, Director General de ANSSI, publicó un artículo aclaratorio en LinkedIn tras los debates suscitados por la cualificación SecNumCloud de una oferta de nube "híbrida" que utiliza tecnología estadounidense operada por un proveedor europeo.

SecNumCloud es una cualificación emitida por ANSSI que certifica que un servicio en la nube presenta un nivel de seguridad elevado adaptado a los usos sensibles del Estado francés y de las empresas. El proceso de evaluación verifica más de 1200 requisitos que cubren riesgos técnicos, jurídicos y organizativos.

En cuanto al derecho extraterritorial, SecNumCloud garantiza que los datos no estén sujetos a disposiciones no europeas frente a las cuales los clientes no tendrían recurso alguno. El requisito de un proveedor europeo (sede social y capitalización), la inaccesibilidad de los datos a subcontratistas no europeos y la autonomía operativa protegen contra las intimaciones en virtud de la CLOUD Act o de las leyes FISA estadounidenses. El escenario del "kill switch" también está cubierto: un proveedor europeo cualificado no puede verse obligado a cortar sus servicios por sanciones o restricciones a la exportación.

Strubel reconoce, no obstante, una limitación importante: "SecNumCloud no significa la ausencia de dependencia". Ningún actor puede "bifurcar (fork) y mantener en autarquía la totalidad de la pila tecnológica de la nube, desde el núcleo Linux hasta Openstack". Un corte del acceso a proveedores no europeos provocaría una degradación progresiva de la seguridad.

La localización de los datos dentro de la Unión Europea es obligatoria, lo que somete la infraestructura física al derecho europeo y facilita la intervención de CERT-FR y otros servicios estatales en caso de incidente.

A nivel técnico, los ciberataques constituyen "la amenaza más tangible que pesa sobre los usos sensibles de la nube". El marco de referencia impone una fuerte segregación entre clientes, una cadena de administración aislada, una gestión segura de las actualizaciones y un cifrado sistemático de los datos. El riesgo humano está cubierto por todo un capítulo dedicado a la gestión de los recursos humanos.

En respuesta a las preguntas más frecuentes, Strubel precisa que las ofertas híbridas satisfacen exactamente los mismos requisitos que las demás ofertas cualificadas. Utiliza una metáfora esclarecedora: tener únicamente criterios capitalísticos o únicamente criterios técnicos sería como tener una casa "con contraventanas blindadas y rejas en las ventanas, pero cuya puerta estuviera cerrada por una cortina".

SecNumCloud aborda dos de los tres retos de la soberanía digital (no ser una víctima fácil, aplicar las propias reglas) pero no crea soluciones tecnológicas alternativas. Es una herramienta de ciberseguridad formalizada, no una política industrial.