Bleu nous parle SecNumCloud, étanchéité, autarcie et relations avec Microsoft

I’m Blue (Da Ba Dee)

Bleu nous parle SecNumCloud, étanchéité, autarcie et relations avec Microsoft

Cette année, Bleu est aux Assises de la cybersécurité de Monaco. Nous en avons profité pour leur demander où en étaient leur certification SecNumCloud et le lancement des produits associés.

Le 09 octobre à 11h04

Commentaires (19)

votre avatar
Bleu, une solution souveraine ?
"Nous demandons à Bleu si elle se considère comme une solution souveraine. Réponse rapide et courte : « Oui, évidemment ». 100 % des capitaux de Bleu sont français, avec des employés européens (sans double nationalité américaine par exemple)."

Si on suis le même raisonnement, étant de nationalité Française, et payant en euro, ma KIA est donc française (à défaut Européenne)....
votre avatar
C'est toi qui fabriques ta Kia ?
votre avatar
On peut quand même leur accorder qu'ils "construisent" et opérent le produit eux même à partir des éléments donnée par le constructeur (comme si KIA donnait les plans de ta voiture à un constructeur français).

Le risque c'est qu'ils assemblent des boites noires, puisque l'audit semble partiel
Cela ne veut évidemment pas dire que Bleu sera en capacité de voir le moindre petit souci dans le code (l'entreprise le reconnait), mais il y a au moins un niveau de vérification. Si besoin, pour des raisons de sécurité, Bleu peut demander à accéder au code source de certaines parties afin d’effectuer des vérifications.
Et que si demain MS coupe les vannes (plus de de mises à jour ou rétention sur certaines faille de sécurité) ils seront bien embêtés.
votre avatar
La question qui me semble importante est de savoir si Trump/le gouvernement US demande à Microsoft de rapatrier les données de ces centres de données Bleu, est-ce que l'entreprise peut techniquement le faire ? Si oui, ça ne me semble pas, ben ça n'a rien de souverain.
votre avatar
Si Microsoft n'a pas la main sur le système déployé (quand bien même ce serait sa techno) et encore moins les infras, je ne vois pas trop comment ils feront à moins de mettre en place une backdoor.

Cela reviendrait à dire que VMWare peut extraire les données des VM pour les envoyer à quelqu'un.
votre avatar
Je me demande si cela éteindra les critiques sur le HDH.
Et d'ailleurs les tarifs de Bleu comparativement à ceux Microsoft.
votre avatar
D'ailleurs où en est le nouveau appel d'offre pour le Health Data Hub ?
votre avatar
L’éditeur a pour rappel été lancé par Orange et Capgemini
Les DSI vont voir rouge avec Bleu et Orange dans le coup
votre avatar
Du pur langage Marketing.

Est-ce que la solution est souveraine ?
Bien entendu que non: à partir du moment où une technologie propriétaire non européenne est utilisée, le droit d'utilisation de cette technologie peut être retiré à tout moment, rendant donc vulnérable à tout moment les services qui y sont hébergés.

Impossible ?
Imaginons que Trump décrète dans sa logorrhée quotidienne que les US ont le droit scruter tout ce qui est hébergé par des technos américaines, avec l'excuse ultime de la sécurité nationale.

Si Bleu refuse, ils subiront le même sort que Huawei avez interdiction d'utiliser de la techno propriétaire américaine.

Tout le reste c'est du vent alimenté par des commerciaux qui vous promettraient la lune pour décrocher un contrat.
votre avatar
Imaginons que Trump décrète dans sa logorrhée quotidienne que les US ont le droit scruter tout ce qui est hébergé par des technos américaines, avec l'excuse ultime de la sécurité nationale.
Ce qui équivaut à dire que presque tout le data centre est concerné (machines physiques : Dell, HP, IBM, équipements réseau : CISCO, Palo Alto,...) et c'est plus qu'un problème de software de virtualisation.

Rappelons qu'aujourd'hui, les zones vSphere d'OVHCloud sont SecNumCloud.
votre avatar
En quoi cela contredit-il ce que je viens de dire ?

Quand on parle de sécurisation et de souveraineté, il faut toujours aller au pire possible.

Je suis désolé mais l'administration Trump actuelle non montre à quel point ce pire est maintenant envisageable.
votre avatar
Mon but n'était pas de contredire, mais pointer l'impact et la portée. Se focaliser sur Bleu (et S3ns) est une erreur.

J'ai toujours considéré le discours de la souveraineté comme superficiel et insuffisamment défini.

Avec un critère sur le software propriétaire US, cela concernerait de facto quasi tout le hardware utilisé dans l'IT. À commencer par les microprocesseurs.
votre avatar
En terme pratique, je ne suis pas sur que le fait de "simplement" détenir les plans des microprocesseurs d'une machine suffise à exfiltrer les données (On peux par contre imaginer des choses tordues tel que pousser une maj logicielle spécifiquement conçue pour exploiter une backdoor dans un processeur, pour fausser des résultats ou carrément planter - voire cramer - des machines).

Par contre, avoir des éléments logiciels en ligne , que ce soit les Windows, VMWare ou autre, à mon avis permet bien plus facilement d'exfiltrer des données voire les VM complètes si d'aventure c'est demandé par les USA. Et bien sur dans le cas des solutions cloud c'est encore plus simple.

Alors oui c'est un fusil à un coup. Mais un sacré coup...
votre avatar
Plutôt que la backdoor et l'exfiltration, j'étais surtout sur l'interdiction d'utiliser une technologie propriétaire US. L'impact d'une telle décision est juste énorme.
votre avatar
Interdiction sans moyens de rétorsion, je ne sais pas trop ce que ça amène....

Là je pense à la chine , qui fabrique une bonne partie (du moins actuellement) du matériel qu'elle n'a par ailleurs pas le droit d'utiliser ... ? hum .

D'ailleurs , pour le coup, là je trouve que les US ont une certaine légitimité à souhaiter à toute force relocaliser leur production de chips, histoire effectivement de retrouver une certaine maîtrise sur le devenir de ces produits (même si à mon sens on peux le faire sans violence, et que c'est plus facile à dire qu'à faire).

Sur le cloud, ils ont cette capacité à couper du jour au lendemain tout accès à leurs techno à quiconque leur tiens tête - y compris sur des logiciels / matériel hébergés sur d'autres territoires - si l'on admets que des kill-switch sont intégrés dans les softs (c'est bien sur une hypothèse à ce stade).
Ca viendrait de la chine on trouverais ça insupportable...
votre avatar
Il existe pas mal de logiciels professionnels qui disposent d'un kill switch indirect via la licence qui peut désactiver le produit une fois expirée.

Il suffit d'un interdiction de commercer avec le pays en question pour qu'elle s'active, en théorie.

Bon, en réalité, j'ai pu voir passer des renouvellements de licences pour des produits dont l'éditeur refusait de commercer avec la Russie. Si l'action reste à insérer soi-même la clé dans le produit et qu'il n'y a pas d'action en ligne, les marges de manoeuvre de l'éditeur sont limités.

Et comme tu l'indiques, les embargos de composants n'ont pas empêché les pays visés d'en acheter.

De ma fenêtre, une telle mesure aurait surtout un violent impact sur l'économie mondiale. Certes, Trump n'aurait pas peur d'annoncer de telles bêtises, mais si les actions de la Tech US se cassent la gueule suite à ça, le discours risque de changer rapidement comme à chaque fois.
votre avatar
Là je pense à la chine , qui fabrique une bonne partie (du moins actuellement) du matériel qu'elle n'a par ailleurs pas le droit d'utiliser ... ?
Il me semble que c'est plutôt Taiwan. Et pour les produits pro, c'est pas dit que ça passe par des intégrateurs chinois de la RPC.
votre avatar
Pour recentrer sur le sujet, il me semble (ce n'est pas clair), que bleu propose une "copie" de l'infra Azure.

Donc si MS coupait les ponts l'Azure-like-sauce-au-bleu continuerait de fonctionner en l'état. (y compris avec ses éventuelles failles NSA-friendly si il y'en avait)
votre avatar
Pour faire simple : Bleu et S3ns font tourner sur des infrastructures en propre le logiciel de Azure et GCP fourni par ces derniers.

C'est plus ou moins comme la région Azure China qui est opérée par un partenaire local (21Vianet) et déconnectée du reste d'Azure Global. La connexion via une ExpressRoute reste possible, tout comme je pense que Bleu sera pareil vu que c'est le service Azure pour l'interco entre deux réseaux.

La différence ici étant que Microsoft commercialise tout de même Azure China, mais avec les restrictions qui s'appliquent (un peu comme la région Government réservée à l'administration publique US).

Si demain il devait y avoir une décision du Gouvernement US pour interdire l'usage de logiciels propriétaires américains (admettons qu'on oublie tous les hébergeurs basés VMWare, les routeurs et firewall, etc.), Bleu et S3ns perdraient d'abord la livraison des évolutions / corrections du produit (déjà qu'elles vont arriver avec un peu de latence puisqu'ils sont censés les vérifier avant). Un kill switch reste possible sous la forme d'une licence à date d'expiration, mais je doute que pour un service aussi critique une telle chose puisse avoir été négociée. Et ça ruinerait l'idée d'incapacité aux USA de pouvoir intervenir dessus.

Bleu nous parle SecNumCloud, étanchéité, autarcie et relations avec Microsoft

  • Où en est la qualification SecNumCloud de Bleu ?

  • Bleu, une solution souveraine ?

  • Quid des mises à jour envoyées par Microsoft ?

  • Bleu a déjà des clients

Fermer