Bonsoir à tous. La France, suite aux derniers évènements et aux menaces qui pèsent sur nos démocraties, comme de nombreux autres pays, est en train de légiférer sur ce que beaucoup voit, moi y compris, comme une dérive sécuritaire. Je ne suis pas un politique, je vais donc donner mon avis du point de vue technique et citoyen.
En ce qui concerne Outscale, nous avons pris comme postulat, y compris dans notre analyse de risque au coeur de notre implémentation ISO27001, que les états où nous implantons nos clouds sont capables de lire les données non chiffrées qui y transitent ou qui y sont stockées. Nous avons aussi pris comme postulat, que l'ensemble des systèmes de cryptographie modernes, notamment basés sur RSA, seront obsolètes d'ici 20 ans avec l'avènement des ordinateurs quantiques et le développement de l'optronique. C'est peut être de la Science Fiction, mais c'est notre analyse, nos hypothèses. Nous avons donc, dès le départ, fonctionné via la création de sociétés soeurs, une société par pays qui va se soumettre totalement à la règlementation locale. Nous ne sommes pas des révolutionnaires et nous sommes pragmatiques. Nous ne nous leurrons pas en pensant que nous avons le choix. Les états, démocratiques ou non, font ce qu'ils veulent même aux Etats Unis qui étaient pourtant, à mes yeux, l'état le plus avancé sur les libertés individuelles. Ces libertés n'existent plus là bas depuis le 11 septembre et n'ont jamais existé ailleurs selon moi. Chaque société Outscale est totalement indépendante et gérée techniquement par des administrateurs locaux. Les administrateurs de la société US, Outscale Inc, sont des étrangers aux yeux de la société française Outscale SAS. Idem pour Hong Kong (Outscale HK), même si c'est encore plus compliqué là bas. Si un administrateur des US doit se connecter sur la France, parce qu'il a une compétence particulière par exemple, il sera considéré comme un intervenant extérieur. Il devra passer par le process d'autorisation et se connecter via un bastion qui loggera en texte et en vidéo tout ce qu'il fera (solution Wallix en cours de remplacement par Balabit). Evidemment cela pourrait être un espion américain au titre du Patriot Act, donc sa session sera monitorée en temps réel. Autrement dit, il est accompagné tout du long par un administrateur de la France. Une fois l'opération terminée, ses accès seront révoqués (il existe d'autres garde fous mais je ne veux pas m'étendre). Cette procédure n'est pas accessible pour un administrateur venant de certains pays trop risqués qui ne pourront tout simplement ni se connecter en France, ni aux USA même avec l'ensemble des précautions citées. Par contre si le gouvernement américain demande à Outscale Inc (société de droit américain) de fournir des données qu'elle gère sur la zone US, Outscale Inc obtempérera. Si le gouvernement américain demande à Outscale Inc au titre du Patriot Act de mettre une boîte noire, nous nous battrons avec les moyens légaux (qui sont justes ubuesque et kafkaïens) mais si nous perdons devant la cour, nous accepterons de mettre la boîte noire. Au sujet des recours légaux contre le Patriot Act, je conseille de regarder les épisodes correspondants de "The Good Wife" qui sont fort amusants mais malheureusement très proches de la réalité. C'est ainsi que nous garantissons l'étanchéité des données de nos clients. La nouvelle loi sur le renseignement ne fait que légaliser des pratiques déjà en place et utilisées massivement par les services de sécurité. C'est effectivement une loi liberticide, mais il semble que nos concitoyens préfèrent leur sécurité à leur intimité. Mon avis en tant que citoyen c'est que les terroristes essaient de détruire nos valeurs. En répondant à leurs menaces par plus de sécurité et moins de liberté, nous détruisons la première valeur de notre devise. Nos deux autres valeurs sont mises à mal au quotidien; la fraternité s'effrite à cause de la stigmatisation d'une frange de la population qui paye pour les actions d'un petit groupe de fanatiques qui n'ont aucune valeur en commun. Finalement, on peut dire que ce type de mesure permet à nos ennemis d'attendre leurs objectifs. En cédant à la peur, nous leur donnons la victoire. En tant que citoyen, je suis contre les dispositifs d'écoute systématique et d'analyse automatique heuristique et comportementale. L'utilisation du deep learning par un état sur sécuritaire m'effraie. Demain, les boites noires seront les Pré-Cogs d'un système policier contre lequel il faudra se lever et combattre. Néanmoins en tant que chef d'entreprise je dois nuancer mes sentiments personnels. La responsabilité du chef d'entreprise est de respecter le bien commun que constitue Outscale SAS, la société française d'Outscale. J'ai une responsabilité vis à vis de mes employés, clients & fournisseurs. Il est mon devoir de respecter les lois, éventuellement en utilisant tous les recours légaux (qui dans le projet de loi me paraissent très insuffisants) si j'estime que les demandes ne sont pas justifiées. Mais au final, si l'état Français demande à Outscale SAS, une société de droit Français, sous la contrainte de la loi de mettre une boite noire, nous mettrons une boite noire. Mais nous lutterons. Nous ne quitterons pas le pays, car il est hors de question que nous abandonnions tous ceux qui nous font confiance. Au contraire nous resterons et nous ferons entendre notre voix et utiliserons tous les moyens démocratiques pour rétablir les valeurs de notre pays qui ont su inspirer tant d'autres peuples dans le monde. L. Le 10 avril 2015 15:02, David Ponzone <david.ponz...@gmail.com> a écrit : > S’il peut, je serais curieux d’avoir la position d’Outscale sur ce sujet. > > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
