Perchè a Francia maltratta Microsoft in Office è Azure cloud
Francia informa chì l'offerta di Microsoft Office 365 nantu à Azure ùn risponde micca à i requisiti di a duttrina statale di nuvola. Tutti i dettagli
U 15 di settembre di u 2021, u Direttore Interministeriale di Digitale Nadi Bou Hanna hà publicatu un comunicatu di stampa à i ministeri chì li informava chì l'offerta Office 365 di Microsoft nantu à Azure Cloud ùn risponde micca à i requisiti di a duttrina cloud francese di u statu (Cloud at the Center), è in particulare. a so regula R9.
Prevede chì u trattamentu di e dati sensittivi deve esse pussibule solu da i fornituri d'ospiti qualificati è ancu immune à qualsiasi lege extraterritoriale (Attu nuvola, FISAA, etc.). Dopu à stu comunicatu di stampa, l'amministrazioni francesi ùn anu più aduprà u serviziu ospitu da Microsoft.
In risposta à stu comunicatu di stampa, ottu attori francesi si sò riuniti per offre un gruppu di suluzioni alternative à Office 3655. Atolia, Jalios, Jamespot, Netframe, Talkspirit, Twake, Whaller è WIMI chì anu 3 milioni d'utilizatori è una offerta sovrana 100% ospitatu da i ghjucatori europei. U cullettivu ammenta chì tutte queste soluzioni sò adattate per l'integrazione in infrastrutture certificate SecNumCloud.
L'Agenzia Naziunale di Sistemi d'Infurmazione (ANSSI) offre una visa di sicurezza chjamata SecNumCloud dapoi u 2016. Questa marca hè destinata à i fornitori di servizii di nuvola (IaaS, PaaS è SaaS) chì vulianu furnisce garanzii nantu à a qualità di u serviziu furnitu è u livellu di fiducia chì pò esse postu in elli. Hè dinò un asset di marketing forte perchè a marca SecNumCloud hè largamente ricunnisciuta in Francia è attesta un livellu di sicurità di punta, certificatu da l'ANSSI. Questa marca hè attribuita à i fornitori chì rispondenu à tutti i requisiti di sicurezza definiti da l'ANSSI è sò stati sottumessi à una valutazione di conformità da una urganizazione appruvata. L'etichetta SecNumCloud permette dunque à i clienti di esse cunfidenti in a sicurità implementata in l'offerta di nuvola à quale si abbonanu. À a cunferenza di cibersecurità 2021, ANSSI hà publicatu una nova versione di SecNumCloud. Questa nova versione furnisce criteri di immunità contr'à e lege non UE, in particulare quelle americane.
A pruibizione di utilizà l'Office 365 ospitu di Microsoft in l'amministrazioni francesi mette dunque in discussione a legittimità di l'ospitu di dati di salute da u Health Data Hub (HDH) in infrastrutture Microsoft chì ùn sò micca certificati SecNumCloud è sottumessi à a lege US. L'HDH, creatu in u 2019, hè un prughjettu per riunisce i dati di salute di più di 67 milioni di persone è hà u scopu di prumove u sviluppu di l'intelligenza artificiale in u campu di a salute, furnisce dati à i diversi poli di a ricerca medica. Microsoft hè statu sceltu per accoglie sta dati, soprattuttu cù a so certificazione "Health Data Hosts" (HDS). Sta scelta hè stata assai criticata perchè i Stati Uniti anu strumenti legislativu (FISAA, Cloud Act) chì puderanu minà a cunfidenziale di e dati ospitati da i fornituri di nuvola sottumessi à a lege US, ancu s'ellu si trovanu in centri di dati in u territoriu europeu. Per regulà i trasferimenti di dati persunali à i Stati Uniti, in 2016 un accordu, chjamatu "Privacy Shield", hè statu formalizatu cù l'Europa.
U "Privacy Shield" hà furnitu garanzii nantu à a prutezzione di e dati persunali di i citadini europei almacenati è trattati da cumpagnie basate in i Stati Uniti. U "Privacy Shield" hà dunque permessu, in teoria, di prutezzione di e dati persunali guardati in infrastrutture Microsoft Office 365, per esempiu.
Tuttavia, u 16 di lugliu di u 2020, a Corte di Ghjustizia di l'Unione Europea hà invalidatu u "Privacy Shield", cunsiderendu chì ùn rispettava micca u Regolamentu Generale di Proteczione di Dati (GDPR) è cusì rende illegale u trasferimentu di dati persunali à i Stati Uniti. in mancanza di misure.in più. Dopu à l'invalidazione di u "Privacy Shield" è per u timore di trasferimentu di dati di salute à i Stati Uniti, l'associazioni è i sindicati anu appellu à u Cunsigliu di Statu per dumandà una sospensjoni d'urgenza di a piattaforma HDH. U 14 d'ottobre di u 2021, u Cunsigliu di Statu hà indicatu chì nisuna dati persunali ospitate in u centru di dati di Microsoft puderia esse trasferitu fora di l'Unione Europea sottu l'accordu cù Microsoft. Tuttavia, u ghjudice hà dimustratu chì ùn era micca escluditu chì l'autorità americane, in parte di i prugrammi di monitoraghju è di intelligenza, puderanu dumandà à Microsoft è a so filiale irlandese l'accessu à certi dati.
Per affruntà stu prublema in u cortu termini, u Cunsigliu di Statu hà dumandatu à a CNIL di travaglià cù Microsoft per rinfurzà e misure di sicurezza in relazione à HDH. Tuttavia, hà pensatu chì u risicu identificatu ùn hà micca ghjustificatu una discontinuazione à cortu termine di HDH. In quantu à u futuru di HDH, u Ministru di a Salute hà mintuatu in nuvembre 2020 a vuluntà di truvà una "nova suluzione tecnica" per prutege HH da "possibile divulgazione illegale à l'autorità americane (…) in u più tempu pussibule". trà 12 è 18 mesi è, in ogni casu, micca più di dui anni ". U scopu hè di dà à l'attori francesi è europei u tempu d'esse pronti à accoglie HDH.
In particulare, i Stati Uniti anu duie armi legislative chì permettenu à l'autorità federale di accede à i dati di i clienti di i fornituri di servizii di nuvola.
U primu, u Cloud Act, permette à i tribunali americani di dumandà a cumunicazione persunale di un individuu da i fornituri di serviziu chì operanu in i Stati Uniti senza chì l'individuu sia infurmatu, nè l'autorità di u so paese di residenza nè quelli di u paese in u quale queste dati sò archiviati. L'attu di Cloud si applica ancu à e cumpagnie straniere attive in terra americana.
U sicondu, chjamatu FISAA (FISA Amendments Act), hè una mudificazione di l'Attu di Surveglianza di l'Intelligenza Estera di u 1978 chì descrive e prucedure di surviglianza fisiche è elettroniche è permette a cullizzioni d'infurmazioni nantu à e putenzi stranieri. FISAA permette un monitoraghju in massa è si estende à tutte e dati in u nuvulu. U scopu, in particulare di a NSA (Agenzia Naziunale di Sicurezza), hè d'avè l'uppurtunità d'interceptà, decifrare, copià, analizà è archiviate tutte e cumunicazioni glubale chì passanu per satelliti, cables… Hè in particulare sta lege chì hà autorizatu. l'usu di l'arnesi di surviglianza utilizati da a NSA è u FBI cum'è parte di u prughjettu PRISM revelatu da Edward Snowden in 2013.
Queste duie liggi permettenu à l'autorità federali di custringhjenu i ghjucatori di u cloud americani à furnisce dati nantu à a dumanda, ancu in i servitori situati in Europa è senza informà l'individui o l'urganisazioni destinati. Da quì u prughjettu Gaia-X chì hè una iniziativa tedesca-francese lanciata in ghjugnu 2020 chì hà u scopu di offre una risposta europea à l'ascesa di u nuvola GAM (Google, Amazon, Microsoft) è Alibaba (fornitore di nuvola cinese) per mezu di u sparte di tecnulugia è tecnulugia. dati industriali trà i so membri. L'idea ùn hè micca di creà una sola cumpagnia, ma piuttostu di s'appoghjanu nantu à u principiu di decentralizazione per creà una "infrastruttura europea di dati". Per esempiu, per attività di ricerca autonoma, Gaia-X puderia furnisce un voluminu assai altu di dati grazia à tutti i so membri attivi in questu segmentu. Tuttavia, u prughjettu Gaia-X hè statu criticatu recentemente quandu novi membri di Google, Microsoft, Amazon, Alibaba, Palantir, Huawei … apparsu in l'associu. Per i difensori di a sovranità digitale, u sustegnu di sti membri contraddisci u scopu iniziale di u prugettu è scredita i scopi perseguiti.
Per a so parte, Gaia-X risponde chì ùn si trattava mai di creà una nuvola sovrana è sicura è l'ecosistema di dati sustinutu da i ghjucatori 100% europei, ma d'invià i fornituri americani è cinesi à a tavula per cullaburazione.
Questa hè una traduzzione automatica da a lingua italiana di un post publicatu in StartMag à l’URL https://www.startmag.it/innovazione/microsoft-office-365-cloud/ u Tue, 23 Nov 2021 06:27:43 +0000.