Comment va s’articuler le partenariat S3ns entre Google et Thales, que ce soit d’un point de vue de la coentreprise ou des détails techniques ? Comment seront gérées les mises à jour et le support ? Quels services seront proposés et ceux à venir ? Deux responsables techniques de Thales apportent des éléments de réponses, en attendant le lancement commercial de l’offre.
Il y a tout juste un mois se tenaient les Assises de la cybersécurité à Monaco. Une des tables rondes avait pour thème S3ns, la « solution cloud Thales x Google Cloud visant à développer une solution conforme aux exigences SecNumCloud ». Ce n’est pas pour tout de suite puisque la disponibilité de l’offre est attendue pour 2024, tandis que Thales vise « une qualification [SecNumCloud] par l'ANSSI en 2025 ».
Deux intervenants étaient présents pour le compte de Thales (et donc de S3ns) : Éric Brier, directeur de la stratégie de la branche cyberdéfense solutions et surtout directeur technique de Sens, ainsi qu’Ivan Maximoff, responsable de la sécurité des systèmes d'information (RSSI).
Durant un peu plus d’une demi-heure ils ont présenté différents aspects techniques du fonctionnement de S3ns, et des services que l’on peut en attendre. Nous avons également eu une intervention de Céline Heller, responsable Trusted Cloud chez Google, afin de préciser la position et les ambitions de l'entreprise américaine sur le cloud « souverain ». Voici ce qu’il faut retenir de cette table ronde, riche en informations.
Actionnariat et conseil d’administration de S3ns
Les responsables de Thales commencent par rappeler quelques bases : « S3ns est le nom de la coentreprise Thales/Google, dont la raison d'être est d'amener le cloud de confiance ». Elle cible évidemment les administrations, les opérateurs d'importance vitale (OIV) et de services essentiels (OSE), mais également ceux « qui vont avoir, pour leurs données et celles de leurs clients, un souci de maitrise et de protection d'un certain nombre de menaces extérieures », ajoute Éric Brier. Ivan Maximoff précise que le but est bien évidemment de « protéger de l’extraterritorialité de certaines lois hors UE, notamment américaines ».
Premier point mis en avant : « Thales est un actionnaire extrêmement majoritaire de la co-entreprise. Au niveau de la gouvernance, le conseil d'administration est composé de six personnes : cinq thalesiens et une observatrice de Google sans capacité de vote ». Ivan Maximoff affirme donc que Google n’a « aucun contrôle » ; S3ns est entièrement responsable de la sécurisation et de la commercialisation de l’offre.
Le RSSI précise rapidement un point important : « là, je vous parle de l'offre SecNumCloud qu'on va avoir en 2024 [mais qui ne devrait pas être certifiée avant 2025, ndlr]. Vous verrez qu'il y a une offre intermédiaire dans laquelle tout cela ne se vérifie pas. L’objectif de cette version intermédiaire n'est pas d'être SecNumCloud ».
Deux offres : une intermédiaire, une autre plus tard visant SecNumCloud
Dans cette offre intermédiaire – baptisée contrôles locaux avec S3NS –, il y a tout de même plusieurs « garanties », notamment que les données sont stockées dans des datacenters français. « Mais nous, S3ns, on ne peut pas le prouver physiquement, c'est un engagement de Google », précise Ivan Maximoff. Notez que la commercialisation de cette offre intermédiaire peut se faire « par S3ns, entité de droit français, mais aussi par Google Cloud ».
Cette offre est présentée comme « une étape » vers la solution SecNumCloud (prévue pour 2025)… une manière de faire qui agace quelque peu Octave Klaba (OVHcloud) : « Là où ils sont malins, c’est de dire : ça va exister demain donc vous pouvez prendre aujourd’hui un truc qui probablement ressemblera à ce qu’il va y avoir demain ».
Comment fonctionneront les mises à jour de GCP sur S3ns
Concernant l’offre visant la certification SecNumCloud de l’ANSSI, au-delà de l’hébergement des données sur des serveurs maison, Thales met en avant « la vérification systématique de toutes les mises à jour qui sont fournies par GCP… et il y en a beaucoup. On a un système de bac à sable [sandbox, ndlr] pour les tester. Lorsqu'on a des doutes, on a un accès au code », affirme Éric Brier. Selon Michel Paulin, directeur général d’OVHcloud et d’autres connaisseurs du secteur rencontrés lors des Assises, il pourrait y avoir jusqu’à « 50 000 modifications par jour », aussi bien chez Microsoft que Google.
À la question de savoir si Thales vérifiera le code source de toutes les mises à jour, la réponse est sans appel : « Non, on ne vérifie pas l’ensemble du code », reconnait Ivan Maximoff. Il ajoute qu’il y aura un « contrôle de l’infra » afin de vérifier s’il se passe des choses « anormales »… une politique de sécurité que l’on retrouve dans toutes les sociétés qui se respectent un minimum en cybersécurité.
Comme indiqué sur l’image ci-dessous, l’architecture de S3ns dans le cas du « cloud de confiance » est répartie sur trois datacenters situés en France : « On va trouver de manière séparée la partie du data center gérée par Google pour GCP Public, et notre zone d'opération. Il y a la zone pour tous les services mis en place pour assurer la confiance (trusted services), celle de production (c'est là qu'on a une copie de GCP) et la sandbox qui est l'élément dans lequel Google va pouvoir pousser ces mises à jour ».
Les équipes de Thales devraient donc (toutes ?) les observer avant de les valider : « Une mise à jour ne pourra rentrer dans la zone du milieu – qui est la production – qu’un une fois validée par Thales », affirme Éric Brier. Il ajoute que la latence attendue serait « de l’ordre de quelques jours »… « quelques étant petit », ajoute rapidement Ivan Maximoff.
Éric Brier explique que, même si Google et Thales sont côte à côte dans les datacenters, les serveurs des deux entreprises sont isolés physiquement : « Ces datacenters sont en région parisienne pas trop loin les uns des autres pour être en actif-actif-actif sans avoir de problèmes de latence, mais suffisamment loin pour résister, comme les normes l’exigent, aux différentes catastrophes naturelles ou non ». L’emplacement exact n’est pas précisé.
Google rappelle que S3ns est « un projet parmi n »
La question de la durée de disponibilité des mises à jour délivrées par Google ne trouve pas de réponse précise, mais Ivan Maximoff affirme que c’est « le genre de choses qui sont dans le contrat » contractuel entre Thales et Google.
Céline Heller, responsable Trusted Cloud chez Google, était dans la salle et en a profité pour apporter des précisions côté Google (on vous passe le côté « projet fantastique, ambitieux et hyper challengeant ») pour revenir à la question des mises à jour :
« le projet français est un projet parmi n. Alors quand on est français on n’aime pas trop entendre ça parce qu’on aime bien faire figure d'exception. Chez Google Cloud, nos dirigeants ont pleinement perçu l'importance de la souveraineté numérique. Alors on ne parle pas de cloud souverain, on parle de cloud de confiance, car on respecte les critères de l’ANSSI.
D’un point de vue global, il y a un certain nombre de partenariats qui se lancent. Il y en a un en Allemagne avec T-System, un en Espagne, un en Italie, un au Luxembourg et évidemment le partenariat avec Thales en France.
Tout ça […] répond à un engagement un peu plus global de business : on est là pour faire du business bien sûr, avec une technologie qui fonctionne. On peut pas se permettre quand on s'appelle Google ou Thales de démarrer quelque chose qui ne va pas fonctionner dans le temps.
La durée des contrats est évidemment confidentielle entre Thales et Google, donc vous imaginez bien que je ne vais pas vous répondre, mais elle est suffisamment longue pour garantir la pérennité [du projet]. Et encore une fois la notion de partenariat local autour de la souveraineté numérique, c'est quelque chose qui est global.
Donc aujourd'hui tout ce qu'on lance avec Thales va pouvoir être quelque part réutilisé, mais de manière différente pour répondre aux réglementations locales, dans un certain nombre d’autres pays dans le monde. Donc si on se plante en France, globalement on va se planter partout. Et ça, ce n’est pas possible ».
Pour Céline Heller, S3ns se met en place dans « une vraie logique de partenariat industriel et pas uniquement technologique. C'est extrêmement important dans la genèse et la manière dont on travaille ensemble […] : L'objectif est bien de s'aligner d'un commun accord en respectant les deux parties. C'est ça un vrai partenariat ; ce n’est pas un qui fournit et l'autre qui fait ».
S3ns : « une copie de GCP où Thales est à la manœuvre »
Pour Éric Brier, « il faut davantage voir [S3ns] comme une copie de GCP où Thales est à la manœuvre en termes d'opérations et administration, que quelque chose qui serait un mix ou une connexion sur les serveurs Google ». Ivan Maximoff fait une analogie avec les ambassades : « Google va nous fabriquer notre ambassade et ensuite on va gérer : on remet nos serveurs, on s'assure qu'il n'y ait pas de caméra qui trainent ou ce genre de choses ».
Le RSSI ajoute une « précision » importante sur la notion d'isolation : « on n'a pas un réseau qui est complètement isolé. Il est connecté et il y a de la télémétrie qui va remonter vers Google. On la maitrise complètement, on sait ce qui va passer, on valide et enregistre. Il y a un filtrage fort ». C’est une ligne rouge qu’OVHcloud ne souhaite pas franchir, comme l’expliquaient récemment Octave Klaba et Michel Paulin.
Que retrouvera-t-on dans cette télémétrie ? « C’est très simple : on ne va pas faire de la liste noire, on va faire de la liste blanche. Ne passera que ce qui nous aura été clairement expliqué et documenté, qu’on pensera nécessaire », affirme Éric Brier. Les données seront chiffrées lors du transport, mais avec un accès aux informations en clair à la fois par Thales et Google.
Disponibilité et réversibilité en cas d’embargo
La question de la disponibilité du service s’est rapidement invitée durant la table ronde : « Si jamais on était dans une situation où il y aurait un conflit entre l’État américain et l’État français, ou entre Google et Thales – ce qui n'arrivera certainement pas – nos infrastructures sont résilientes et peuvent tenir quelques mois avec une réversibilité », affirme Ivan Maximoff.
Éric Brier tient à apporter des précisions sur cette durée :
« Ce n’est pas qu'on n’est pas capable de les faire tourner plus longtemps. C’est pour des questions de mise à jour, mais on ne parle pas d'un choix de Google, on parle d'un embargo qui ferait qu'on ne reçoive plus les mises à jour. À ce moment-là, on considère effectivement que du logiciel plus mis à jour n'est pas quelque chose de raisonnable. Et on ne prétend pas – nous Thales – être capable de faire les mises à jour de sécurité d’un GCP complet. C'est une expertise de Google, on en a d'autres.
Donc l’idée, on en a discuté aussi avec l’ANSSI, c'est de tenir suffisamment longtemps pour que des plans de réversibilité crédibles puissent être mis en place par les clients ».
Support par des S3nsas… avec éventuellement un appel à un « ami »
Changeons de sujet avec le support, dont les opérations sont réalisées totalement par S3ns – au moins pour les deux premiers niveaux – et par du personnel européen afin d’être dans les clous du référentiel SecNumCloud. Ivan Maximoff donne quelques détails :
« Dans un premier temps, nous nous appuierons sur les personnels uniquement français […] C'est l'une des façons d'atteindre l'objectif. Il n'est pas impossible qu'on soit contraint de faire appel ultérieurement – à cause de la pénurie des talents – à des personnels européens […] Ils pourront avoir une deuxième nationalité, mais je pense que la nationalité américaine ne sera pas possible pour rester immunisé ».
Des interrogations sont revenues pendant la session de questions/réponses : « Est-ce qu'il y a quelque chose de prévu à un instant T en cas de gros gros problème ? […] Ou alors c'est vraiment tout en autonomie et pas d'assistance possible de l'extérieur, même si gros gros soucis », demande une personne dans la salle. La question sous-jacente est de savoir si des Googlers auront accès à S3ns d’une manière ou d’une autre.
Réponse d’Éric Brier : « L'objectif est d'avoir le support de niveau 1 et 2 en autonomie. Un support de niveau 3 qui est dans un mécanisme de session guidé. C'est à dire que l'expert niveau 3 S3ns, aussi brillant soit-il, sera certainement moins pertinent qu'un Googler. C'est donc le mode technique de l’appel à un ami ».
En cas de catastrophe S3ns a prévu un mécanisme « prévalidé avec l'ANSSI »
Concernant des scénarios exceptionnels (qui ne devraient jamais arriver selon Thales), S3ns proposera un mécanisme de session escortée, « qui a été prévalidé avec l'ANSSI ». Dans ce genre de situation, c’est forcément un personnel S3ns qui devra autoriser cette session avec un Googler. Ensuite il la surveillera en permanence et sera capable de « couper le fil en cas de déviation ».
Ivan Maximoff y va aussi de son explication : « Au niveau 2, si un S3nsas [un technicien spécialisé de chez S3ns, en analogie au Googler, ndlr] n'y arrive pas tout seul, il va avoir besoin d'un coup de main. Dans ce cas, on est dans un mode où un Googler a une copie de son écran. Il ne peut rien faire et n'a pas d’accès. Le S3nas peut alors décider de la suite ; si on lui demande de faire une commande idiote, il ne la fera pas »
Le responsable de la sécurité des systèmes d'information prend ensuite l’exemple d’un cas extrême : « Il y a une banque avec un incendie et des gens à l'intérieur. Ça ne devrait pas arriver, mais c'est un sujet qu'on a étudié. Dans ce cas-là, on pourrait – si on juge que c'est nécessaire – donner un accès direct à des Googler […] Mais ça ne doit pas arriver et ça engendrerait systématiquement des vérifications très importantes de nos infrastructures et bien évidemment, tout le monde serait prévenu ».
Tout GCP ou presque au lancement, Workspace à l’étude
Après cette partie technique, la table ronde était aussi l’occasion de revenir sur les services. Pour Éric Brier, le but de S3ns est « clairement d'avoir tous les services [de GCP], à l'exception peut-être de quelques services de niche qui ne feraient pas sens [oh le joli jeu de mot involontaire… mais difficile de passer à côté, ndlr] pour des clients français ». « Au moment où on déploiera la solution pour la première fois en "General Availability", on n'aura pas l'entièreté des services Google ».
Il y aura au moins une partie suffisante pour générer de l’intérêt auprès des potentiels clients : « De nos analyses du marché, du besoin, des attentes et peut-être aussi de ce qui a ou non marché dans le passé, on s'est rendu compte que ne pas avoir une offre qui soit suffisamment riche fait perdre toute pertinence à la solution ». Thales passe presque en mode Captain Obvious…
La question de l’arrivée de Google Workspace (en plus de Google Cloud Plateform) revient sur le tapis. Éric Brier y va de sa prospective : « Pour des raisons essentiellement technologiques, aujourd'hui, ce n'est effectivement pas dans ce qu'on présente. On n'a pas trouvé aujourd’hui une solution technologique qui soit suffisamment pertinente. Par contre on y travaille ».
« Les suites collaboratives seraient un plus non négligeable, mais on ne le fera pas n'importe comment. Tant qu’on n'aura pas la réponse adéquate, on ne communiquera pas dessus », ajoute-t-il. « On y travaille, confirme Ivan Maximoff. Aujourd'hui, l'analyse, c'est qu’on ne peut pas rester conforme à SecNumCloud. Donc on étudie avec Google, avec d'autres personnes, le moyen de s’arranger ».
HDS et données à diffusion restreinte (DR)
Pour ce qui est des données « DR » ou à Diffusion Restreinte, le RSSI de Thales « ne répond ni oui ni non ». Éric Brier est plus précis dans sa réponse : « Moi, je ne suis que le directeur technique, je vais tenter une réponse : on ne vise pas le DR ».
Enfin concernant la certification HDS : « il est très probable – mais la décision n'est pas encore prise – que la version SecNumCloud soit certifiée HDS. Maintenant ce n’est pas un engagement qu'on prend, ça dépend aussi du besoin de nos clients », ajoutent les responsables de Thales.
Le problème est plus large pour Éric Brier et dépendra finalement de la demande des clients : « On va faire une analyse de celles qui sont les plus demandées, les plus réalistes à implémenter et après on revient vers [nos clients] avec une position claire ».
Reste maintenant à lancer S3ns dans sa version « cloud de confiance » et à attendre le résultat de la demande de certification SecNumCloud (dans sa version 3.2) par l’ANSSI. Les choses ont le temps d’évoluer d’ici là puisque cela ne devrait pas arriver respectivement avant 2024 et 2025.
À noter : dans le cadre de la réalisation de cet article, nous sommes allés aux Assises de la cybersécurité à Monaco. L'organisateur du salon a pris en charge une partie de notre hébergement et restauration sur place. Conformément à nos engagements déontologiques, cela s'est fait sans aucune obligation éditoriale de notre part, sans ingérence de la part des Assises.
