两个月前,国民议会外交事务委员会接受了ANSSI总干事Vincent Strubel。在这种情况下,他揭示了网络威胁状况的明确全景,同时暴露了法国教义和部署的监管工具。在阅读这次听证会的结尾时,问题仍然是一个问题,当操作手段不遵循时,工具是否足够?
坚实的法律架构。
在监管层面上,法国检查所有框。在大会上讨论的SO称为“弹性”法案,转化了三个结构化欧洲文本:
- NIS 2,将安全义务扩展到10,000多个被认为是必不可少或重要的公共和私人实体
- 多拉,这在金融部门施加了数字运营弹性
- 和指令 RA,与关键实体的保护有关
并行,ANSSI部署SecnumCloud存储库,应该保证在欧洲法律主权下的敏感数据的适应。现在,许多战略公共用途,尤其是部委,社区和卫生机构需要此存储库。
因此,法律框架是稳定的,甚至被认为是加强法国和欧洲网络安全生态系统的杠杆,尤其是在托管,住宿和审计服务方面。
但是两个速度执行
因此,ANSSI总干事的听证会揭示了另一个面孔,即政府意识到监管义务与演员的实际能力之间的差异日益差异。
如果大型主权运营商受到保护(各部委通过跨部门层面网络(RIE)受益,超越战略核心, 大多数经济和领土结构仍然裸露。中小型企业,社区间,卫生或研究机构定期进行瘫痪袭击。巴黎 – 萨克莱大学(Paris-Saclay University)的例子是2024年8月与RAAN的赎金,已将其系统混乱了几天,被认为是慢性投资不足的症状。
ANSSI谈到了一个目标 “传递规模”, 换句话说,将网络安全的种植扩展到远远超出500个优先实体的范围,延伸到NIS 2现在关注的成千上万的参与者。但是,这种倾斜需要人类,财务,技术资源,目前不存在。
工具,但没有基础架构
文森特·斯特鲁贝尔(Vincent Strubel)回忆说,如果法国拥有公认的加密知识,主权云标准(Secnumcloud),一个在结构过程中的区域csirt网络,以及合格的提供商的结构,则 在现场,矛盾积累。所以 主权云保持边缘,由于缺乏公共招标的明确预算激励措施, l健康数据 仍然可以广泛容纳美国基础设施,法国恢复计划资助的项目尚不足以建立可持续的动态。
同样的观察结果 seclumcloud存储库, 尽管它保证了针对域外的法律保护,但它被认为非常复杂,昂贵且仍然是可选的。执行官将离散豁免倍增,例如,某些行政部门将基于“可信赖的云”使用Microsoft服务进行关键处理,而无需正式认证。
无效的风险
风险是 显示主权,没有任何操作翻译。通过乘以基准,义务和文本,法国将面临着镜子效应,要求越来越多地要求,但执行的执行委员会既不具有手段,能力,也不是人力资源来回应它们的行为者。
如果ANSI本身受益于无可争议的技术合法性,则仍然受到有限的员工和越来越多的费用的限制。审计,支持,迁移计划针对质量后密码学,跨部门监督,对社区的支持,所有这些都添加了所有这些,而没有等效手段的倍增。与我们的德国邻居进行比较 BSI(Der InformationTechnik中的BundesamtFürSicherheit)的预算估计至少是ANSSI的两倍。
文森特·斯特鲁贝尔(Vincent Strubel)承认这是半个字,这是2024年奥运会的成功(尽管尝试比东京的尝试增加了12倍,但没有重大进攻),因为该州已将其手段大量集中在有限数量的目标上。这使我们理解该模型不是 没有规模的变化,这是不可概括的。
无预算或投资的主权=运营幻想
如果法国有明确的学说,一个坚实的监管机构和受人尊敬的技术机构,而没有 大量投资加速,特别是在本地实施中(社区,标有服务提供商,主权云,现场培训), NIS 2和其他文本的实施可能仍然是理论上的。
网络安全已成为一个系统性的问题,不再仅基于标准和少数专家。它以工业,预算和人类动员为前提,比目前实施的动员更为重要,没有此事,数字主权将仍然是一个口号。
