Cloud
Le Cigref soutient la CSNP dans ses griefs contre l’EUCS
Par Laurent Delattre, publié le 09 septembre 2024
Le débat autour de l’EUCS, version européenne du SecNumCloud français, illustre les tensions entre la volonté de protéger la souveraineté numérique européenne et les impératifs économiques internationaux. La CSNP a, dans un avis cinglant, enjoint les acteurs européens à expliquer clairement pourquoi ils s’opposaient aux critères d’immunité du niveau “High+” et rappelé leur importance : Une démarche qui a reçu un soutien appuyé du CIGREF.
Le schéma européen de certification des services cloud (EUCS) est au cœur de nombreux débats et conflits. Considérée par beaucoup comme l’adaptation européenne de la certification SecNumCloud, la formulation actuelle de l’EUCS divise les acteurs du numérique en Europe et au-delà. Visant à renforcer la sécurité et la souveraineté numérique de l’Union Européenne, son élaboration bute sur un point de discorde majeur : l’importance de protéger données et traitements contre les législations extraterritoriales en imposant des acteurs de droit européen pour les données les plus critiques.
Nombre d’associations et entités numériques françaises montent une nouvelle fois au créneau à l’instar de la CSNP qui a reçu la semaine dernière un soutien appuyé du CIGREF.
Les conflits autour des exigences de l’EUCS
Contrairement à la certification française SecNumCloud, que l’EUCS doit d’ailleurs remplacer en France, la version donnée comme finale du texte de la cybersécurité des services cloud ne contient plus les critères de souveraineté imposant une immunité aux lois extraterritoriales pour le niveau le plus élevé de cybersécurité.
La France, à travers divers acteurs du numérique dont la CNIL et la CSNP, plaide pour l’intégration de ces critères de souveraineté (et d’imperméabilité aux lois extraterritoriales) pour le niveau « High+ », qui garantirait une meilleure protection des données sensibles et stratégiques hébergées sur des infrastructures cloud.
À LIRE AUSSI :
La CSNP critique ouvertement l’EUCS actuel
Dans un avis publié le 4 septembre, La Commission Supérieure du Numérique et des Postes (CSNP) a pris une position claire et argumentée en faveur d’un schéma de certification qui inclut des critères stricts de souveraineté.
La CSNP plaide pour la réintégration des critères d’immunité aux lois extraterritoriales dans l’EUCS, soulignant que sans ces protections, les données sensibles des entreprises et des administrations européennes ne seraient pas suffisamment sécurisées.
Dans son avis, la CSNP rappelle que toute sécurité informatique repose sur trois principes fondamentaux : l’intégrité, la disponibilité et la confidentialité. Sur ce dernier point, elle rappelle que préserver la confidentialité ne se limite pas à lutter contre un accès illégal et illégitime par des acteurs cybercriminels mais comprend également l’interdiction de l’accès aux agences de renseignement étrangères dans un cadre certes légal mais secret et trop souvent illégitime pour les organisations qui en sont victimes.
La CSNP insiste ainsi sur l’importance d’intégrer au niveau « High+ » des critères d’immunité pour assurer la souveraineté numérique européenne et limiter la dépendance vis-à-vis des opérateurs américains, qui contrôlent plus de 70 % du marché cloud en Europe.
Au-delà des principes de souveraineté, la version actuelle de l’EUCS affaiblit également, selon la CSNP, la compétitivité de l’offre cloud européenne et compromet la capacité des acteurs publics et privés à externaliser leurs projets les plus critiques de manière sécurisée. Elle contribue parallèlement à une dépendance croissante aux opérateurs cloud américains, ce qui pose des risques économiques, géopolitiques et juridiques insoutenables à long terme.
D’autres pays européens, y compris l’Allemagne, continuent néanmoins d’exprimer des réticences à réintégrer les critères d’immunité au niveau « High+ », arguant que l’introduction de ce niveau de certification pourrait nuire aux relations économiques avec les États-Unis et entraîner des représailles commerciales. De plus, certains secteurs économiques fortement liés au marché américain craignent des répercussions économiques si le High+ venait à exclure les fournisseurs de cloud américains.
Le soutien du CIGREF à la CSNP
Le CIGREF, principale association française représentant les grandes entreprises nationales utilisatrices de services numériques, s’est exprimé en faveur des positions de la CSNP. Dans un communiqué du 6 septembre 2024, le CIGREF applaudit l’avis de la CSNP et rappelle le besoin impératif pour les entreprises européennes de disposer d’un cadre de certification cloud solide, conforme aux plus hauts standards de sécurité. Le CIGREF insiste sur l’importance d’un schéma harmonisé à l’échelle européenne pour protéger la confidentialité des données sensibles et éviter les accès légaux indésirables par des lois extraterritoriales.
Le CIGREF a, depuis plusieurs années, travaillé avec ses homologues européens pour défendre un cadre réglementaire permettant aux entreprises de se prémunir contre les ingérences étrangères. Il souligne que la protection des données est une question de compétitivité et de souveraineté économique dans un marché où les trois plus grands fournisseurs de cloud ne sont pas européens.
Les débats autour de l’EUCS trahissent une nouvelle fois les tensions politiques et économiques entre les membres de l’Union Européenne. Alors que la France – au travers de multiples acteurs de la vie numérique comme la CSNP, la CNIL et le CIGREF – milite pour un niveau élevé de certification, les divergences entre états membres risquent de freiner l’adoption d’un schéma ambitieux et essentiel. C’est une nouvelle fois la sempiternelle « souveraineté numérique de l’Europe » qui est au cœur des débats et des enjeux. Comme le rappelle la CSNP, il n’y a pas en jeu que la cybersécurité et l’autonomie numérique de l’Europe, il y a aussi l’avenir des fournisseurs de services cloud européens et des éditeurs de la French Tech.
À LIRE AUSSI :
À LIRE AUSSI :
