Vincent Strubel, Direttore Generale dell'ANSSI, ha pubblicato un articolo di chiarimento su LinkedIn a seguito dei dibattiti suscitati dalla qualificazione SecNumCloud di un'offerta cloud "ibrida" che utilizza tecnologia americana gestita da un fornitore europeo.

SecNumCloud è una qualificazione rilasciata dall'ANSSI che certifica che un servizio cloud presenta un elevato livello di sicurezza adatto agli usi sensibili da parte dello Stato francese e delle imprese. Il processo di valutazione verifica oltre 1200 requisiti che coprono rischi tecnici, legali e organizzativi.

Per quanto riguarda il diritto extraterritoriale, SecNumCloud garantisce che i dati non siano soggetti a disposizioni non europee contro le quali i clienti non avrebbero alcun ricorso. Il requisito di un fornitore europeo (sede legale e capitalizzazione), l'inaccessibilità dei dati a subappaltatori non europei e l'autonomia operativa proteggono da ingiunzioni ai sensi del CLOUD Act o delle leggi FISA americane. Anche lo scenario del "kill switch" è coperto: un fornitore europeo qualificato non può essere costretto a interrompere i propri servizi a causa di sanzioni o restrizioni all'esportazione.

Strubel riconosce tuttavia un limite importante: "SecNumCloud non significa assenza di dipendenza." Nessun attore può "fare il fork e mantenere in autarchia l'intero stack tecnologico cloud, dal kernel Linux a Openstack." Un'interruzione dell'accesso ai fornitori non europei porterebbe a un progressivo degrado della sicurezza.

La localizzazione dei dati all'interno dell'Unione Europea è obbligatoria, sottoponendo l'infrastruttura fisica al diritto europeo e facilitando l'intervento del CERT-FR e di altri servizi statali in caso di incidente.

Sul piano tecnico, gli attacchi informatici costituiscono "la minaccia più tangibile che grava sugli usi sensibili del cloud." Il quadro di riferimento impone una forte segregazione tra i clienti, una catena di amministrazione isolata, una gestione sicura degli aggiornamenti e una cifratura sistematica dei dati. Il rischio umano è coperto da un intero capitolo dedicato alla gestione delle risorse umane.

In risposta alle domande frequenti, Strubel precisa che le offerte ibride soddisfano esattamente gli stessi requisiti delle altre offerte qualificate. Utilizza una metafora illuminante: avere solo criteri capitalistici o solo criteri tecnici equivarrebbe ad avere una casa "con persiane blindate e sbarre alle finestre, ma la cui porta sarebbe chiusa da una tenda."

SecNumCloud affronta due delle tre problematiche della sovranità digitale (non essere una vittima facile, applicare le proprie regole) ma non crea soluzioni tecnologiche alternative. È uno strumento di cybersicurezza formalizzato, non una politica industriale.