Le gouvernement néerlandais n’autorisera que des entreprises européennes à exploiter la plateforme DigiD

 (nltimes.nl)
1 points par GN⁺ 4 시간 전 | 1 commentaires | Partager sur WhatsApp
  • Le mode d’appel d’offres sera modifié afin que seules des entreprises européennes puissent assurer une partie de la gestion de la plateforme DigiD dans les contrats conclus après août 2028
  • Le nouvel appel d’offres sera mené dans le cadre du Defense and Security Procurement Act (ADV), qui offre davantage de possibilités pour limiter les risques liés à la sécurité nationale qu’un appel d’offres européen classique
  • Actuellement, une partie de DigiD est gérée par Solvinity, détenue par des investisseurs britanniques, et l’entreprise américaine Kyndryl souhaitait acquérir Solvinity
  • Le gouvernement néerlandais a bloqué le rachat après l’avis du Bureau d’examen des investissements (BTI), et le Parlement craignait que le gouvernement américain puisse accéder à DigiD via Kyndryl ou en interrompre le fonctionnement
  • Le prochain appel d’offres ADV exclura de la gestion de DigiD les pays dont la législation permet, comme aux États-Unis, une ingérence excessive dans les entreprises technologiques ou l’accès aux données, et renforcera le chiffrement des données de DigiD et de MijnOverheid

Mode d’appel d’offres et exigence d’entreprises européennes

  • La prochaine entreprise chargée d’une partie de la gestion de DigiD devra être européenne, et l’appel d’offres pour les contrats après août 2028 sera lancé dans le cadre du Defense and Security Procurement Act (ADV)
  • L’ADV offre davantage de possibilités pour limiter les risques liés à la sécurité nationale qu’un appel d’offres européen classique, et réserve l’éligibilité aux seules entreprises européennes afin de garantir la sécurité
  • Le prochain appel d’offres via l’ADV exclura de la gestion de DigiD les pays disposant d’une législation de ce type

Blocage du rachat de Solvinity par Kyndryl

  • Actuellement, une partie de DigiD est gérée par Solvinity, détenue par des investisseurs britanniques, et l’entreprise américaine Kyndryl souhaitait acquérir Solvinity
  • Le gouvernement néerlandais a bloqué ce rachat la semaine dernière après l’avis du Bureau d’examen des investissements (BTI), et le Parlement craignait que le gouvernement américain puisse accéder à DigiD via Kyndryl ou en interrompre le fonctionnement
  • L’entreprise a déclaré qu’elle ferait tout son possible pour empêcher cela, sans pouvoir toutefois garantir que ce serait impossible
  • En raison de la législation américaine, le gouvernement des États-Unis peut exercer une ingérence excessive dans les entreprises technologiques américaines ou exiger l’accès à des données
  • À la suite d’une recommandation issue d’une enquête confidentielle sur l’éventuel rachat de Solvinity par Kyndryl, les données de DigiD et de MijnOverheid bénéficieront d’un meilleur chiffrement

À lire aussi

1 commentaires

 
GN⁺ 4 시간 전
Avis sur Hacker News
  • En tant que Français, je ne comprends pas pourquoi DigiD n’est pas un projet géré par l’État comme FranceConnect
    Ce qui est encore plus surprenant, c’est qu’une entreprise américaine ait pu penser pouvoir racheter le système national de gestion de l’identité d’un pays européen comme s’il s’agissait d’une activité ordinaire
    • DigiD est bien un projet public. Il est détenu et exploité par Logius, un organisme appartenant à l’État
      Logius a simplement externalisé l’hébergement et l’infrastructure à Solvinity
    • La plupart des gouvernements ont adhéré à la mondialisation et aux solutions de libre marché, et ce mouvement a fonctionné dans les deux sens
      Il y a aussi des opérateurs européens et indiens dans les systèmes fédéraux américains, même si les restrictions se renforcent selon les domaines du système. Et malgré cela, les opérateurs font parfois des erreurs
      Par exemple, beaucoup d’entreprises « américaines » sont en réalité servies par des opérateurs en Irlande, en Bulgarie ou aux Pays-Bas. Dès qu’on parle de Fedpod, les restrictions ne sont généralement ni totales ni nulles, mais graduelles. C’est ainsi que des entreprises américaines se sont fait épingler parce que des Chinois traitaient les données
      La vraie question n’est pas de savoir si l’Europe et les États-Unis doivent faire le ménage, mais quelle part relève d’une souveraineté nationale légitime et à partir de quand cela devient un mercantilisme grossier dans le cloud/SaaS
    • Ce qui me déconcerte le plus, c’est que le gouvernement néerlandais ait trouvé cela acceptable, et qu’il ait fallu autant d’efforts de l’opposition pour faire changer de cap
    • En tant que Néerlandais, ça ne me surprend pas. Les administrateurs néerlandais ont traditionnellement horreur de faire eux-mêmes ce qui peut être sous-traité à des prestataires commerciaux
      Cela a aussi créé des nuées infinies de consultants vivant aux crochets de l’impôt. Je déteste ça, mais que faire, malheureusement les gens continuent de voter pour ce genre de choix ici
    • L’ensemble du système douanier chinois a lui aussi été, à une époque, géré par des étrangers européens. Pas à cause de l’impérialisme occidental, mais parce que les dirigeants chinois les avaient invités comme moyen de lutter contre la corruption
      Même aujourd’hui, certains pays européens externalisent l’impression de leur monnaie ou de leurs passeports à l’étranger. Ce n’est pas quelque chose d’aussi exceptionnel
  • À long terme, la relocalisation a aussi ses limites
    Un bon modèle serait celui du Wi‑Fi 5G : faire confiance aux « composants stupides » étrangers et fournir soi-même les « composants intelligents »
    Mais pour cela, il faut d’excellentes capacités étatiques. Cela suppose en particulier de pouvoir partager l’information avec les régulateurs nationaux, et beaucoup de pays ont du mal sur ce point
    Au final, les processeurs ne seront pas conçus localement, et l’informatique de confiance reste assez rare
  • On commence seulement maintenant à prendre au sérieux les menaces numériques venant des États-Unis, d’Israël et de la Chine
  • Enfin
    Mais maintenant ils veulent utiliser des comptes Google et Apple pour la connexion à NL Wallet, donc la même histoire recommence
    • Il y a de l’espoir
      « Merci d’avoir soulevé ce problème. Nous savons que l’implémentation actuelle ne fonctionne pas encore sur GrapheneOS. Il s’agit d’une situation temporaire et nous prévoyons de la résoudre avant la publication de l’application. »
      https://github.com/MinBZK/nl-wallet/issues/34#issuecomment-4...
      D’ici là, ce serait bien que tous les Néerlandais, et probablement les Européens aussi, mettent un pouce ou un cœur sur la demande initiale de ce ticket pour montrer qu’il existe une vraie demande. Cela pourrait aussi influencer d’autres wallets
  • Le fait qu’il soit désormais difficile de faire confiance aux États-Unis donne une impression vraiment brutale
    • Je ne vois pas pourquoi cela semblerait brutal. Cela me paraît facile à comprendre et fondé sur des faits
  • C’est une vision naïve de la souveraineté, mais dans ce nouveau monde où « les États-Unis ont décidé de saborder leur propre domination et d’attaquer leurs alliés », je pense que c’est ainsi que les choses doivent fonctionner. Le monde est désormais balkanisé, et il faut vivre avec cette réalité
    1. Presque tous les pays ont de bonnes universités avec des cursus en logiciel. Le vrai problème, c’est que les universités ne préparent pas assez les étudiants au travail réel, c’est-à-dire à construire et maintenir des produits
    2. Les gouvernements devraient fortement favoriser les produits créés par les étudiants de leurs propres universités
      L’objectif de tous les pays devrait être de faire croître un cercle vertueux du logiciel souverain. Tout autre choix paraît assez stupide
    • Dire que « presque tous les pays ont de bonnes universités avec des cursus en logiciel » est faux
      Et je me demande aussi ce qu’on entend par « meilleurs cursus » en génie logiciel. C’est une compétence difficile à enseigner en salle de classe, et le modèle apprentissage/mentorat a bonne réputation. Même si tous les pays disposaient aujourd’hui d’un tel système, ce qui est loin d’être le cas, un développeur avec 10 ans d’expérience n’apparaît de toute façon qu’au bout de 10 ans
      Dire aussi que « les gouvernements devraient fortement favoriser les produits créés par les étudiants de leurs propres universités » est faux. Il faut utiliser l’outil le plus adapté au travail. Dans un secteur où l’innovation va vite, favoriser l’industrie nationale peut être fatal. Même si un produit local est meilleur, ce qui compte c’est l’adoption
      Si l’on disait que le Gopher américain était bien supérieur au HTTP européen, que l’UNIX américain était supérieur au Linux finlandais, et que le Perl américain était supérieur au Python néerlandais, avec le recul cela ne semblerait-il pas vraiment étrange de favoriser les produits locaux ?
      L’alternative consiste à créer une capacité d’évaluation et d’atténuation des risques
    • Je pense exactement la même chose depuis des années, mais cela n’a manifestement rien d’évident pour les autres
      Nouveau développement logiciel ? Université ! Maintenance ou migration d’un ancien logiciel ? Université ! Conseil et accompagnement IT ? Aussi incroyable que cela paraisse… université, je vais m’arrêter là. Vous voyez l’idée
    • Le problème économique simple de cette approche selon laquelle « l’objectif de tous les pays est de faire croître un cercle vertueux du logiciel souverain », c’est que l’autosuffisance n’augmente pas la production totale
      Quand on dit « je vais le faire moi-même », il faut toujours ajouter : « et qu’est-ce que je ne ferai pas à la place ? »
      Dans un monde balkanisé, la manière pour un petit pays de s’adapter consiste à faire comme Singapour : garder l’équilibre entre les grandes puissances, se spécialiser dans ce qu’on fait bien, rester pragmatique, flexible et stratégiquement neutre. Ainsi, les grandes puissances entrent en concurrence plutôt que de nourrir de l’hostilité. À vouloir poursuivre la « souveraineté », on risque de s’appauvrir et de devenir une cible facile
  • Je ne sais pas comment c’est maintenant, mais autrefois DigiD tenait dans deux racks dans une cage séparée. Même avec l’accès à l’étage de la salle informatique, on ne pouvait pas s’approcher physiquement des serveurs
  • Pourquoi ne pas simplement choisir une entreprise néerlandaise ?
    Il y a clairement en Europe des pays aux penchants pro-russes
    • Sérieusement, si l’AfD arrivait au pouvoir, vous annuleriez aussi les contrats allemands ?
  • Et si cette entreprise européenne décidait de sous-traiter à son tour à un autre continent ?
    • Ce serait alors une violation du contrat. Beaucoup de contrats publics comportent des clauses d’interdiction de sous-traitance