Connexion
Abonnez-vous

Bleu : Orange et Capgemini lancent leur « cloud de confiance », basé sur Microsoft Azure et 365

Le cloud est Bleu comme une Orange

Bleu : Orange et Capgemini lancent leur « cloud de confiance », basé sur Microsoft Azure et 365

Orange et Capgemini annoncent « le lancement des activités commerciales de Bleu », mais uniquement commerciales. Le « cloud de confiance » n’existe pas encore au niveau physique et n’est donc pas certifié SecNumCloud par l’ANSSI. Il s’agit donc d’occuper le terrain en donnant quelques détails.

Le 16 janvier à 15h49

En mai 2021, Orange et Capgemini s’associaient avec Microsoft – présenté comme un partenaire technologique – pour annoncer Bleu, leur version du « cloud de confiance », c’est-à-dire une offre labellisée SecNumCloud par l’ANSSI. Le but : proposer « la suite de collaboration et de productivité Microsoft 365 et des services Microsoft Azure, dans un "cloud de confiance" ».

Pour le moment, Cloud Temple, Oodrive, Outscale, OVHcloud et Worldline ont obtenu le précieux sésame. La liste des prétendants en cours de qualification est bien plus longue : Cegedim, Free Pro, Cloud Solutions, Index Education, Orange Business, SFR Business et Whaller. Impossible pour le moment de dire si les entreprises seront certifiées, le processus est en cours.

Bleu appartient à 100 % à Capgemini et Orange

Pour en revenir à Bleu, cette entreprise est « fondée et détenue à 100 % par Capgemini et Orange ». Une alternative à S3ns, une offre conjointe de Thales et Google cette fois-ci. Depuis plus de deux ans, c’était le calme plat autour de Bleu, ou presque.

En juin dernier, la Commission européenne avait conclu que ce rapprochement « ne poserait pas de problème de concurrence » et avait donc donné son feu vert. Nous avions bien tenté d’en parler avec les partenaires lors des Assises de la cybersécurité à Monaco en octobre dernier, mais on nous avait simplement répondu qu’il fallait attendre le lancement de l’offre.

C’est désormais le cas si l’on en croit le communiqué d’Orange et Capgemini. Ils annoncent en effet « le lancement des activités commerciales de Bleu, leur future plateforme de "cloud de confiance" ». Il faut comprendre qu’il ne s’agit que d’un « paper launch » pour le moment. S3ns ne propose aussi que son offre « Contrôles locaux avec S3NS » pour l’instant, le cloud de confiance (qui vise la certification SecNumCloud) n’est pas encore disponible.

Dirigeants de Bleu : trois anciens de Capgemini, trois d’Orange

La nouvelle entreprise Bleu se contente pour le moment de travailler « avec des entreprises et des organismes publics français intéressés, pour s’assurer qu’ils soient prêts à migrer lorsque les premiers services seront disponibles sur la plateforme à partir de fin 2024 ». Une manière d’entrer dans la course sans être prêt, ni certifié par l’ANSSI.

Un site officiel est disponible et on connait donc l’équipe dirigeante. Trois viennent de chez Capgemini : Jean Coumaros (président de Bleu), Papa Ibrahima Ndao (directeur technologie et services) et Siham Benayad (directrice ressources humaines). Ils cumulent plus de 30 ans d’anciennetés à eux trois chez Capgemini.

Trois autres proviennent de chez Orange : Laurent Lemaire (directeur commercial et marketing), Mélanie Pasquier (directrice communication et marketing opérationnel) et Dominique Le Beuz (directeur opérations et systèmes d’information). Ils approchent les 60 ans d’ancienneté cumulée à eux trois… Autant dire que Bleu est dirigé par des fidèles des deux partenaires. Une campagne de recrutement est lancée.

La promesse et les cibles de Bleu

La promesse de Bleu est de proposer « la suite de collaboration et de productivité Microsoft 365, ainsi que les services Microsoft Azure, dans un cloud français sécurisé, ayant vocation à obtenir la qualification SecNumCloud 3.2 de l’ANSSI ». Bleu vise aussi la certification des Hébergeurs de Données de Santé (HDS). Reste maintenant à les avoir.

Bleu proposera des solutions pour les « besoins spécifiques de l'État, des collectivités territoriales, des hôpitaux et établissements de santé, des entités publiques et privées reconnues comme Opérateurs d’Importance Vitale (OIV) et Opérateurs de Services Essentiels (OSE) ». Des domaines que les deux partenaires connaissent bien.

Orange est par exemple un opérateur d’importance vitale. De son côté, Capgemini assure la liaison entre services publics et les fournisseurs de cloud via la centrale d’achat UGAP (Union des groupements d'achats publics) : « Capgemini assure en toute transparence et impartialité un rôle de facilitateur dans la mise en relation entre les bénéficiaires et les fournisseurs de Cloud, avec la mise à disposition de différents outils (Portail de souscription, parcours de choix, etc.) ». Bleu sera-t-il traité avec la même « transparence et impartialité » que les autres services ?

Quid de la sécurité ? Faites confiance…

Passons maintenant au cœur du sujet : les « principes de sécurité et de confiance ». Bleu fait plusieurs promesses. Tout d’abord, ses datacenters sont « localisés exclusivement en France, dans deux régions distantes de plus de 300 km », sans plus de détails (nous ne savons pas si c’est de la colocation par exemple).

De plus : « les opérations seront gérées depuis le territoire national, par nos équipes, qui proposeront un support en français ». Le siège social aussi se trouve en France et « nous contractualisons avec nos clients en droit français », ajoute Bleu.

Pour la sécurité des données, « des mécanismes de chiffrement avancés pour toutes vos données stockées et en transit seront proposés, avec la possibilité d’utiliser et d’héberger vos propres clés »… heureusement d’ailleurs !

La certification SecNumCloud 3.2 est visée, mais c’est l’ANSSI qui décide ou non de la donner, après un long processus de vérification. OVHcloud dispose pour rappel de trois datacenters certifiés SecNumCloud (Gravelines, Roubaix et Strasbourg) formant ainsi une région. L’hébergeur compte passer une large partie de ses services sous la certification SecNumCloud au cours des deux prochaines années.

Pour ce qui est de l’étanchéité entre Microsoft et Bleu, c’est plus flou… mais promis, c'est « by design » : « Nous conjuguons le meilleur de la sécurité du cloud Microsoft à des mécanismes de cloisonnement physique et virtuel mis en place par les équipes de Bleu à tous les niveaux de l’infrastructure cloud, dans une approche "security by design" ».

Mises à jour de la discorde…

Concernant les mises à jour de Microsoft Azure et 365, « un principe de quasi-parité » est mis en avant : « Les mises à jour quotidiennes seront contrôlées et déployées par les équipes techniques de Bleu ». Est-ce que le code source de toutes les mises à jour sera contrôlé avant mise en ligne ? Ce n’est pas précisé…

Il y a quelques mois, Michel Paulin (directeur général d’OVHcloud) expliquait que les mises à jour de Google et de Microsoft… pouvaient atteindre une cadence infernale de « 50 000 modifications par jour ». Il expliquait aussi que « T-Systems avait un partenariat avec Microsoft sur lequel ils avaient mis en place justement le même type de stratégie que nous voyons aujourd'hui […] Ça n'a pas marché parce que d'abord techniquement, c'est d’une complexité incroyable. Deuxièmement, ils avaient un problème de coût ». Résultat des courses, une solution « plus chère et en retard par rapport aux releases de Microsoft », affirmait le directeur général d’OVHcloud.

S3ns aussi navigue entre deux eaux sur la question des mises à jour, et reconnait que toutes les vérifier (chez Google) est impossible. En effet, Thales prône « la vérification systématique de toutes les mises à jour qui sont fournies par GCP… et il y en a beaucoup », via un « système de bac à sable pour les tester », expliquait Éric Brier (directeur de la stratégie cyberdéfense solutions chez Thales et directeur technique de Sens). Mais à la question de savoir si Thales vérifiera le code source de toutes les mises à jour, la réponse d’Ivan Maximoff (responsable de la sécurité des systèmes d'information chez Thales) était sans appel : « Non, on ne vérifie pas l’ensemble du code ».

Des modalités de réversibilité « clairement définies »… mais non précisées

Bleu affirme que « des modalités techniques de réversibilité clairement définies vous permettront de récupérer l’intégralité de vos données et applications en conformité avec les exigences réglementaires et les standards de l’industrie ». Bref, une phrase pour ne pas dire grand-chose des conditions exactes, si ce n’est qu’elles respecteront la loi, encore heureux !

En plus des services Microsoft, Bleu proposera une place de marché avec « des solutions provenant d’éditeurs de logiciels tiers (ISV, Independent Software Vendor) ». Celles-ci seront pensées pour un déploiement rapide sur… « les services Azure proposés par Bleu ». La boucle est bouclée.

Programme Départ Lancé à défaut d’un vrai départ

À défaut d’une offre commerciale disponible, Bleu propose un « Programme Départ Lancé » pour permettre aux entreprises et institutions intéressées d’anticiper leurs besoins (définir une stratégie de migration), préparer leurs migrations et enfin sauter le pas lorsque les services seront disponibles, vers la fin de l’année. Pour chacune des étapes, Bleu affirme qu’un « écosystème de partenaires » sera proposé.

Commentaires (55)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Vouloir obtenir la qualif Secnumcloud en se basant sur microsoft... lol.
On rigolera bien quand le cadre d'échange des données entre UE et USA tombera à nouveau.
votre avatar
Il n'y a pas d'envoi de données aux USA dans cette offre. Et tu as oublié l’adjectif "personnelles" pour qualifier les données dont tu veux probablement parler. Donc, quand/si l'accord actuel sur la protection des données personnelles traitées aux USA tombe(ra), cela ne changera rien pou Bleu.

Il y a ici une étanchéité a priori complète entre Bleu et Microsoft.
L'objectif de ce montage est de se protéger de tout effet d'une loi US en ayant une société française qui gère tout en France.
L'ANSSI vérifiera bien évidement cette étanchéité.
votre avatar
"Il n'y a pas d'envoi de données aux USA dans cette offre".

Ah bon ? Tu es sûr de toi ? Parce que la géolocalisation des serveurs n'a aucune importance. Un transfert de données peut parfaitement se faire avec des serveurs localisés à Château neuf du Pape (ou n'importe où ailleurs !) Les serveurs Azure vont être la propriété de Cap Gemini ? Avec aucun accès pour Microsoft ?Les codes sources de la solution Azure sont elles disponibles en totalité ? De notre 6ème puissance mondiale, il n'en reste vraiment plus grand chose ! Et pour son AI ? Enfin le Microsoft va faire comment si elle n'a pas accès à toutes les données de tous ses clients ? Enfin quid de la solidité du nouveau Data Privacy Act qui remplace le Privacy Shield qui remplace les Safe Harbour. Perso, si j'étais le conseil d'une entreprise française, je ne pourrais que déconseiller de choisir Blue !
votre avatar
Perso, si j'étais le conseil d'une entreprise française, je ne pourrais que déconseiller de choisir Blue !
Ça tombe bien, l'essentiel des entreprises françaises ne sont pas la cible de Bleu. Seules les OIV ou OSE le sont, il n'y a qu'à lire l'article pour le savoir.

Néanmoins, vu le niveau de sécurité visé, si elles pouvaient être clientes et si elles voulaient ce niveau de sécurité, ce serait idiot de leur déconseiller Bleu, la seule alternative pour avoir de la technologie Azure étant Microsoft et que ça pose au moins des problèmes de juridiction US.

Quant à tes autres questions, comme je l'ai dit, ça sera l'ANSSI qui jugera de la pertinence de la solution et je leur fais bien plus confiance qu'à toi ou moi. Dans l'absolu, contrôler ce qui rentre ou sort d'un Cloud que tu gères, ce n'est pas très difficile quand tu as l'expérience d'Orange dans les réseaux.

Oui, les serveurs seront la propriété de Bleu (et pas de Cap Gemini ni d'Orange qui eux sont propriétaires de Bleu).

Quant au Data Privacy Act, il n'a rien à voir avec la choucroute. Celui-ci est ne protège que les données personnelles qui sont envoyées depuis l'UE aux USA. Encore une fois, ce n'est pas l'objet de cette offre. Celle-ci est là pour protéger des données potentiellement plus importantes que des données personnelles.

Ce n'est pas parce que l'article est écrit sur un ton suspicieux que l'offre n'est pas sérieuse. Ce n'est pas sur un site plus vitrine qu'autre chose aujourd'hui que les solutions techniques sont expliquées. J'espère que le rédacteur le sait.
votre avatar
L'ensemble du groupe Orange est passé sur Office 365, et surtout les données utilisateurs sont sur Onedrive ...
votre avatar
C'est vraiment scandaleux. On est quand même pris ouvertement pour des idiots, mais plus c'est gros plus ça passe.
votre avatar
Bravo pour l'argumentation de ces propos.
Où est le scandale ?
Qui sont pris pour des idiots ?
Qu'est-ce qui est gros ?
votre avatar
Confiance et Microsoft dans la même phrase ? Des possibles nouveaux s'offrent à nous pour 2024 :francais:
votre avatar
tien, c'est marrant, moi j'aurais dit "Cloud et Orange dans la même phrase? Qu'est-ce qui pourrais mal se passer?" Pas comme si c'était le 1er projet cloud d'orange...
votre avatar
Ou, comment se faire avoir comme un Bleu.
votre avatar
Je préfère ce slogan comme sous-titre de cette actualité. Sans doute parce que plus proche de ce que je suspecte qu'il se passera. J'espère avoir tord.
votre avatar
C'est parce que tu n'aimes pas la poésie que tu dis ça !
votre avatar
Oui, c'est exactement ça. Je trouve la poésie magique, mais elle et moi, ça a toujours fait 2.
votre avatar
En lisant cet article, j'ai l'impression d'être tombé une copie de bac d'explication de texte pondue rapidement en pensant que ce n'est pas grave si c'est creux, le style suffira.

Tant de défiance pour un communiqué de presse grand public, là où cette offre est entourée d'embargo/NDA ...

Mention spéciale pour ce point :
En plus des services Microsoft, Bleu proposera une place de marché avec « des solutions provenant d’éditeurs de logiciels tiers (ISV, Independent Software Vendor) ». Celles-ci seront pensées pour un déploiement rapide sur… « les services Azure proposés par Bleu ». La boucle est bouclée.
C'est un avantage ? Un incovénient ? Un problème ?
Heureusement qu'une solution développée sur Azure sera disponible rapidement sur Bleu, c'est la promesse de base de l'offre ...
votre avatar
Au final, c'est un package Azur rebrandé made in France.

Je n'en vois pas l’intérêt, et ne pense que l'on gagnera en confidentialité vis à vis des US.
votre avatar
Pourquoi penses-tu que l'on ne gagnera pas en confidentialité vis-à-vis des US alors que c'est la raison d'être principale de l'offre ?
votre avatar
Cela reste du Azur au final, et donc un produit américain. Il suffit de voir ce qui s'est déjà passé avec les demandes d’accès aux données qui étaient stocké en dehors des Etats Unis.

C’est juste une manière de mieux faire passer la pilule Azure.

Mais vu qu'au finale, il n'y a aucune garantie de confidentialité, je ne voie pas l’intérêt de rajouter une surcouche. Autant passer directement sur Azure.
votre avatar
Voir ma réponse à carbier ici.

C'est justement conçu pour que juridiquement, le Cloud Act soit inopérant. Microsoft n'a aucun contrôle sur les serveurs et ne peut donc pas appliquer le Cloud Act si les USA lui demandent.
votre avatar
Je sais c'est pt être réducteur mais acteur US = extra-territorialité des lois US.
Je prends le cas Huawei - Google, l'administration américain à dit on bannie Huawei, TOUT le monde à du suivre.
On bien la techno. ARM qui appartient à la base à une entrprise anglaise, on bien n'importe quel entreprise qui utilise des dollars US, doivent suivre Sarbanes-Oxley....

Je pense que l'on peut raisonnablement exclure la parano. et avoir une méfiance légitime.
votre avatar
La seule chose que peuvent faire les USA, c'est effectivement d'interdire la techno Microsoft à la France. Mais si on en vient là, on sera très mal, parce qu'il n'y aura pas que MIcrosoft d'interdit et on reviendra à l'âge de pierre informatique.

Remarque pour ARM, c'était parce qu'il y avait des techno US qu'ils ont voulu l'interdire.
votre avatar
J'ai peut-être mal compris à l'époque, mais le Patriote Act, permett(r)ait à la NSA de demander l'accès à n'importe quelles données (même à sur un serveur à l'étranger) si elle en fait la demande et ceux sans même en avertir le titulaire des dîtes données.
Et la collecte massive des données qui lui a été interdite ne concerne que les données des citoyens étasuniens...


Ca me rappelle en un ancien article de NEXT
next.ink Next
votre avatar
Que ce soit le Cloud Act que je citais ou le Patriot Act que tu cites, seule une entreprise américaine ou l’une de ses filiales à l’étranger sont soumises à ces lois. Le montage de Bleu et d'autres permet de s'en protéger en ayant une société 100 % française qui contrôle les serveurs.
votre avatar
Sans attaque, je me suis demandé :
CapGemini : Française ?

Je suis aller voir : https://investors.capgemini.com/fr/structure-de-lactionnariat/
Ce qui compose les 84,3% d'investisseurs institutionnels sont 68,3% d'investisseurs internationaux (Sans plus de détails).
Cependant la sté Blackrock Inc et FMR LLC détiennent (5,18% et 5,05%) du capital et ou des droits de votes.
Donc même si ce sont des sté d'investissements + 1/10eme du captal est détenu par des capitaux étasuniens.
(Par ailleurs Pour Orange qui est aussi coté au NYSE, Black rock était aussi monté au capital à la même periode :
https://alloforfait.fr/business/news/112466-orange-blackrock-franchi-5-pc-capital-redescendu.html)
et reste juste audessous de 5%

Donc, le gouvernement américain, pourrait encore faire de l'extra-terriotalité, à mon avis (qui n'a de valeur que celle d'un avis :smack:)
PS : La seul différence est qu'Orange est encore détenu pour une bonne part par l'état Français. Ce qui n'est pas le cas de CapGemini. )
votre avatar
C'est le siège social qui compte et il est à Paris.
votre avatar
Il me semble (je dis bien, il me semble) que c'est loin d'être aussi simple, car il y a aussi la nationalité des employés. Des employés américains seraient apparemment soumis à l'extra-territorialité des lois américaines, y compris s'ils travaillent à l'étranger dans une boite étrangère. J'avais lu ça quelque part, sans vraiment avoir eu le temps encore de creuser pour vérifier.

Mais si, par hasard, tu as des infos là-dessus, je suis preneur. Par avance merci :chinois:
votre avatar
Tu fais probablement allusion à cet article qui était en lien dans une brève de NXI.

Il y est dit entre autre par un avocat français :
« Cela signifie qu'il ne peut pas y avoir de clients américains et surtout, pas un seul employé américain dans la structure, sinon le Cloud Act s'applique »
Je suis assez d'accord avec lui pour un employé qui aurait assez d'accès pour récupérer des informations. Pour un client américain, de toute façon, ce n'est pas la cible et je ne vois pas pourquoi il y en aurait ; je ne vois pas très bien non plus pourquoi ce serait un problème juridique, mais moi, je ne suis pas avocat.

Dans cet article, j'ai l'impression qu'il y avait aussi un certain nombre de fantasmes.
votre avatar
Effectivement, j'avais du voir ça dans la brève, mais sans avoir encore eu le temps d'approfondir (je n'ai pas accès à l'article que tu mentionnes).

Pour les clients, je suis d'accord, ce n'est pas du tout la cible.

Mais pour les employés, cela peut être compliqué. Par exemple, avec la double nationalité (et c'est déjà le cas dans d'autres domaines, comme le domaine fiscal où des personnes nés aux Etats-Unis mais vivant en France (des "américains accidentels") se retrouvent quand même à devoir payer des impôts là-bas, alors qu'ils n'y ont jamais mis les pieds (sauf lors de leur naissance).

Maintenant, il faudrait voir de quel moyen de pression les Etats-Unis pourraient faire usage sur les employés américains en cas de "non respects de leurs obligations".
Dans cet article, j'ai l'impression qu'il y avait aussi un certain nombre de fantasmes.
Quand j'ai lu la brève, c'est ce que je me suis dit. C'est tellement gros que c'est pas possible. Mais comme tout est possible, je voulais quand même approfondir le sujet...

[edit] J'ai failli oublié, impoli que je suis : :merci: pour ta réponse :)
votre avatar
Pour lire l'article, même médecine que pour je ne sais plus qui aujourd'hui : YesScript2 (ou NoScript, j'utilise le premier qui a l'avantage d'être par défaut désactivé).
Une mesure technique de protection trop facile à contourner n'en est pas une légalement, donc tant pis pour ceux qui pensent que le JS permet de bloquer l'accès.

Remarque : pour les personnes à double nationalité, il serait de toute façon de bon ton de ne pas les embaucher dans des sociétés de ce type qui sont chargées de protéger les données de l'État. Il y a tout un tas de cas (liés au secteur de la défense où on y fait attention). La pression des USA sur leurs ressortissants, c'est facile, ils risquent probablement la prison s'ils n’obéissent pas aux demandes. S'ils comptent revenir aux USA, c'est assez fort comme pression. :D
votre avatar
:chinois: oki
votre avatar
Comme beaucoup d'entre vous, grosse déception. On n'en sortira jamais, toujours lié à des GAFAM y compris pour nos données les plus sensibles.
Je trouve cela triste que nous n'ayons pas réussi à trouver une entreprise.

Est-ce lié au lobby, bien présent à Bruxelles avec les dépenses faramineuses qui ont fait pencher la balance ?
Nous ne le serons jamais, mais à mon avis en partie au moins. Cette décision ne va pas aider à créer une concurrence en Europe.

Cette décision pour Microsoft est une aubaine, tout comme Google pour continuer à se développer, et inversement que la concurrence ne s'y développe pas par manque de financement, manque de client, manque de visibilité.
votre avatar
T'es capable de citer une entreprise française du niveau d'Azure ou AWS ?
T'es capable de citer une suite équivalente à MS365 Française ?
votre avatar
L'équivalent européen de MS365 est la combinaison de BlueMind (Messagerie française) et de Libre Office (suite bureautique libre allemande).
votre avatar
Oui m'enfin, il en manque un sacré paquet là-dedans :
- Quid du stockage en ligne (OneDrive, Sharepoint)
- Quid des outils de sécurité / identité
- Quid des outils de compliance
- Quid de la licence Windows Enterprise
- Quid de la partie Phone System
- Quid de la partie BI
- Quid de la partie Employee Experience

Etc etc

Il ne faut vraiment pas connaître M365 pour penser que c'est juste la messagerie et le client lourd ...
votre avatar
Quid du besoin des utilisateurs ? Cela suffirait pour 99%.

Et pour la confidentialité, c'est régulièrement contourné, en agrégé, comme cela a été le cas avec Doctolib qui revendait les données de recherche.
votre avatar
Libre Office a conquis le marché...ah en fait non
Sans parler que rien n'est équivalent à MS365 en terme d'intégration/unification des différents produits de la suite.
Faut pas confondre ses désires et la réalité du marché et des attentes des entreprises
votre avatar
L'intégration des produits Microsoft non, c'est un agrégat plus ou moins bien ficelé.
Je vis au quotidien les drames outlook - sauvegarde (dont les pst) et Onedrive.
Outlook(enfin Exchange) pour lui même est très bien ; Onedrive en tant que stockage en ligne utile mais le mélange des deux est une horreur, sans parler de l'imbroglio de Note dedans.
votre avatar
Il existe d'autres acteurs français qui se sont lancés dans le développement de solutions open source.
Les annonces ont été faites, les développements sont en cours, comme pour Bleu.

Je ne vois pas ce qui te permet d'affirmer maintenant qu'aucune alternative n'existera.
votre avatar
Je ne prédis pas le futur, je me contente de l'état de fait à cet instant
votre avatar
C'est complètement faux: tu prédis le futur en soutenant qu'aucune autre solution ne pourra concurrencer celle des GAFAM.
C'est même l'objet de ton commentaire.
Libre Office a conquis le marché...ah en fait non
Sans parler que rien n'est équivalent à MS365 en terme d'intégration/unification des différents produits de la suite.

C'est aussi faux: qu'un produit n'ait pas un part de marché suffisante ne signifie pas qu'il ne sont pas équivalent en termes de fonctionnalité.
As-tu seulement essayé un de ces produits pour répondre avec tant de certitudes ?
votre avatar
Et quel "produit" serait à périmètre égal de M365 ?
Pour rappel, M365 c'est ces fonctionnalités : go.microsoft.com Microsoft

J'ai hâte de voir ce que tu vas proposer en "produit" qui couvrirait donc à périmèttre égal Collab+Phone+Securité+BI+OS+Identité+Employee Experience+Stockage en ligne+Management+ ...
votre avatar
Je te laisse chercher par toi même, les solutions qui sont en cours de développement pour proposer autre chose qu'un produit dont on ne maitrise rien.

Petit rappel: personne ne force personne à utiliser tel ou tel produit. Si tu préfères utiliser Microsoft libre à toi. Mais ici on parle de solutions sécurisées utilisées par des organismes d'état dits sensibles.

Or toutes les solutions à base de services GAFAM ne sont pas maitrisées de bout en bout par les sociétés les intégrant dans leurs offres. Donc par définition ce n'est pas sécurisé.
votre avatar
Non, c'est toi qui indique que ces solutions existent. D'autres te disent que non; personnellement, je reste dubitatif, à l'exception d'un GSuit.

Ne renversons pas la charge de la preuve, je te laisse étayer tes dires.
votre avatar
Je dois avoir du mal à écrire français: je n'ai pas dit qu'elles existaient mais qu'elles étaient en cours de développement

Exemple pour la suite collaborative.

Pour le Cloud 3DS Outscale a déjà eu le sésame

Et il y en a d'autres. Bref...
votre avatar
Pour la première offre :
Le consortium réunira l’édition et le partage de documents (Oodrive), la visioconférence (Tixeo) et la messagerie instantanée (Olvid), dans un environnement de confiance.
On est loin d'un "équivalent en terme de fonctionnalités" de la plateforme M365; d'autant que, sur la page de l'annonce il est précisé :
L’objectif n’est pas de se substituer systématiquement aux offres déjà en place, telles que celles de Microsoft ou Google, mais de les compléter en proposant une alternative fiable pour assurer la protection et la confidentialité totale des données sensibles.
https://www.oodrive.com/fr/actualites/oodrive-olvid-tixeo-unissent-pour-creer-suite-collaborative-securisee-souveraine/

Pour la seconde offre, c'est un lien vers une offre de CSP type IaaS. Quel rapport versus une plateforme SaaS de collaboration ?

Bref...
votre avatar
Donc par définition ce n'est pas sécurisé
L'ANSSI te remercie d'avoir fait le travail pour elle ! Ils vont pouvoir aller à la piscine au lieu de faire des études complexes.
votre avatar
On va faire l'inverse: explique moi comment une solution dont le maitre d'oeuvre est incapable de valider toutes les mises à jour serait sécurisé ?
votre avatar
Je n'ai pas le niveau de compétence de l'ANSSI, contrairement à toi.

Mais le cloud de confiance est là avant tout pour se protéger du Cloud Act américain, pas pour assurer un niveau de sécurité absolu garantissant qu'il n'y a pas de porte dérobée pouvant récupérer les données. Microsoft (ici) n'a aucun intérêt de mettre une porte dérobée pour contrôler le cloud de confiance, bien au contraire. Microsoft est emmerdé d'avoir à se plier au Cloud Act parce que ça lui fait perdre des clients, en particulier les services des états non US. Cette solution d'étanchéité à la fois juridique (ils ne contrôlent pas du tout l'entité Bleu), opérationnel (ils n'ont pas accès aux serveurs et ce n'est pas eux qui les gèrent) et technique (il y a les pare-feux nécessaires en entrée du cloud afin que Microsoft (ou d'autres) n'ait pas accès aux serveurs.
Et l'ANSSI a pour mission de valider ces 3 aspects avant de certifier l'offre du cloud.

Je te trouve bien présomptueux d'avoir un avis aussi tranché sur une solution qui a dû être étudiée par pas mal de monde avant de la monter
votre avatar
Comme dit soi même : "...Microsoft (ici) n'a aucun intérêt de mettre une porte dérobée pour contrôler le cloud de confiance, bien au contraire. " intérêt non obligation si un organisme d'état US lui demande OUI.
Peut importe le bord politique, "AMERICA (United Stats of) FIRST est une réalité, pas une croyance de complotiste.
A nous européens de savoir (re) créer une indépendance sur le sujet.
votre avatar
Pour l'instant Bleu ce n'est que du commercial, donc que du vent.
Mais pour moi la question la plus importante concernant la certification est la gestion des mises à jour.

Si chez Bleu ils peuvent affirmer ce qu'ils veulent sur le sujet, le retour d'expérience de S3ns montre qu'il y a un problème:
Mais à la question de savoir si Thales vérifiera le code source de toutes les mises à jour, la réponse d’Ivan Maximoff (responsable de la sécurité des systèmes d’information chez Thales) était sans appel : « Non, on ne vérifie pas l’ensemble du code ».
Comment peut-on proposer cette solution aux OIV alors que le code source du système n'est pas maitrisé ?
votre avatar
Ça doit être un hommage à Tintin (et les oranges bleues) :roule:
votre avatar
à mon avis c'est plutôt le poème de Paul Eluard
(La Terre est bleue comme une orange)
votre avatar
Pour le sous-titre, sans aucun doute. J'y ai fait allusion sans le citer plus haut en parlant de poésie.

Mais le nom de Bleu est plutôt lié au fait que azur est un synonyme de bleu.
votre avatar
Quelqu'un a déjà travaillé avec la suite d'Interstis ? https://www.interstis.fr/ Je serai preneur de son retour... On vient de me demander d'évaluer cela hier soir justement.

Après lecture en diagonale, pour moi il ne manque que la messagerie pure et dure, mais votre avis est le bienvenu.

Merci !
votre avatar
Yes on l'utilise dans le secteur public/Administration centrale sous le nom Resana numerique.gouv.fr République Française . Ce n'est objectivement pas trop mal, permet de travailler de manière collaborative avec une équipe mais tu auras toujours la remarque "ce n'est pas O365" connus par les usagers.
votre avatar
Merci de ton retour. Je vais creuser cela.

Bleu : Orange et Capgemini lancent leur « cloud de confiance », basé sur Microsoft Azure et 365

  • Bleu appartient à 100 % à Capgemini et Orange

  • Dirigeants de Bleu : trois anciens de Capgemini, trois d’Orange

  • La promesse et les cibles de Bleu

  • Quid de la sécurité ? Faites confiance…

  • Mises à jour de la discorde…

  • Des modalités de réversibilité « clairement définies »… mais non précisées

  • Programme Départ Lancé à défaut d’un vrai départ

Fermer