Gouvernance

La directive « cloud au centre » de l’État en péril

Par Thierry Derouet, publié le 09 avril 2024

L’Union européenne envisagerait-elle de renoncer aux exigences de souveraineté dans le cadre de la certification de la cybersécurité ? L’approche des élections européennes et l’appel du gouvernement français auraient précipité la décision, mais pas dans le sens escompté.

Après l’EUCC (European Union Common Criteria Cybersecurity Certification Scheme), voici venir le temps de l’EUCS (European Cybersecurity Strategy). À quelques semaines des prochaines élections européennes, que comprendre des dernières négociations secrètes qui se sont déroulées dans les coulisses de Bruxelles et qui ont abouti à la production d’un document de 221 pages en date du 22 mars dernier, instaurant un nouveau schéma de certification de cybersécurité pour le cloud — ou EUCS ? Si ce n’est, de nouveau, à un échange de la souveraineté des données contre des voitures de luxe et de l’approvisionnement en gaz non liquéfié.

Un très mauvais feuilleton pour l’UE

D’après un article publié dans le Tagesspiegel Background, le nouveau schéma de certification de cybersécurité pour le cloud propose trois niveaux de sécurité distincts : « basique », « essentiel » et « élevé ». Toutefois, à la différence des versions antérieures de l’EUCS, les exigences de souveraineté ne font plus partie du niveau de certification le plus élevé.

Jérôme Valat, PDG de Cleyrop et l’un des promoteurs des solutions labellisées SecNumCloud, s’oppose fermement à la suppression des critères de souveraineté dans le nouveau schéma de certification de cybersécurité pour le cloud. Selon lui, il ne faut pas répéter les erreurs du passé, comme cela a été le cas avec le Safe Harbour il y a 9 ans. Il appelle à une prise de conscience urgente et à une action de la part de l’Europe à la veille des élections européennes.

Guillaume Poupard, ancien directeur de l’ANSSI et actuel directeur général adjoint de Docapost, a souligné dans un article de blog sur LinkedIn que l’enjeu principal est de reconnaître et d’accepter que certaines données et certains processus sont très sensibles et nécessitent des conditions de sécurité technique, opérationnelle et juridique particulièrement strictes. Selon lui, l’une des conséquences est de s’assurer que seul le droit européen s’applique à ces données et processus, à l’exclusion de tout autre droit étranger.

À LIRE AUSSI :

Le projet initial plus que compromis

Si les exigences de souveraineté ne sont plus incluses dans le niveau de certification le plus élevé de l’EUCS, cela pourrait compromettre le projet initial présenté l’an dernier aux gouvernements de l’Union européenne. Ce projet prévoyait que pour obtenir le label de cybersécurité de l’UE, les grandes entreprises technologiques devaient s’associer à une entité basée dans l’UE et garantir le stockage ainsi que le traitement des données de leurs clients au sein de l’Union.

Nous avons essayé de comprendre pourquoi la proposition de l’autorité européenne de cybersécurité Enisa, prévoyant que le critère de souveraineté soit nécessaire pour la certification avec le niveau de sécurité le plus élevé, aurait été supprimée d’un trait de plume. Comme l’indique le Tagesspiegel Background, la France aurait précipité une telle décision en lançant un appel auprès de la Commission européenne et à l’Enisa dans une lettre destinée pourtant à trouver enfin un compromis. Et, nous dit-on, tenter de rassurer les opposants aux critères de souveraineté. En rappelant notamment que ceux-ci ne s’appliqueraient qu’à un nombre très restreint d’acteurs hébergeant des données sensibles. Cette insistance aurait entraîné la réaction qui est maintenant mentionnée. C’est juste incompréhensible !

Des dissensions profondes

Comment comprendre que, malgré la mise en œuvre des règlements DMA et DSA, nous ne soyons toujours pas clairs sur cette question de souveraineté ? Notre confrère allemand rapporte que pour « les milieux industriels (allemands), la discussion a été trop politique dès le départ. Les directives prévues pour le lieu de stockage des données auraient ainsi davantage à voir avec des intérêts économiques qu’avec des intérêts de sécurité. » Et de rappeler aussi que des voix critiques se sont également élevées ces derniers mois en dehors des représentants d’intérêts américains. Selon Euractiv, l’Allemagne, la Pologne, l’Irlande et les Pays-Bas ont également mis en garde contre les effets négatifs d’une réglementation protectionniste sous le couvert de la cybersécurité sur les partenariats stratégiques avec le Japon, les États-Unis et d’autres pays.

La réponse mi-avril sera décisive

Cette nouvelle version de l’EUCS sera examinée par les experts du groupe de certification lors de leur réunion mi-avril. Les résultats de cette réunion pourraient avoir une incidence sur l’avenir de la certification de cybersécurité pour le cloud en Europe.

Guillaume Poupard dessine déjà les conséquences de ce revirement : « L’étape suivant sera la contestation systématique de la légalité de toute démarche, nationale ou individuelle, visant à réellement protéger ses données sensibles. La France verra contester en justice le référentiel SecNumCloud et la directive cloud au centre. Les solutions “hybrides” de “cloud de confiance” seront vidées de leur sens. Les appels d’offres demandant plus que ce que proposera la certification EUCS du plus haut niveau seront systématiquement attaqués. ». Et de s’interroger sur des “jours encore plus sombres” pour l’Europe du Numérique…


À LIRE AUSSI :

Dans l'actualité

Verified by MonsterInsights