Cybersécurité : les exigences de souveraineté sont maintenues dans le schéma de certification pour les services de cloud

« L’objectif de ces exigences spécifiques est de prévenir et de limiter de manière adéquate les éventuelles interférences d’États extérieurs à l’UE avec le fonctionnement des services de cloud certifiés », peut-on lire dans le projet de document. [NicoElNino/Shutterstock]

Le projet de schéma européen de certification de cybersécurité pour les services de cloud (EUCS), consulté par EURACTIV, inclut des exigences de souveraineté sur la localisation des données européennes et l’immunité face au droit étranger, malgré la forte opposition de certains États membres et du secteur privé.

La Commission européenne avait demandé à l’Agence de l’Union européenne pour la cybersécurité (ENISA), chargée de développer et de préserver l’EUCS, d’ajouter des exigences de souveraineté au dispositif.

«  L’objectif de ces exigences spécifiques est de prévenir et de limiter de manière adéquate les éventuelles interférences d’États extérieurs à l’UE avec le fonctionnement des services de cloud certifiés  », peut-on lire dans le projet de document.

Cette approche refléterait les exigences récemment introduites dans le schéma national français de certification de la cybersécurité, connu sous le nom de SecNumCloud, et affecterait les fournisseurs de services de cloud opérant sur le marché de l’UE, en garantissant que le droit de l’UE est prioritaire et que la maintenance, les opérations et les données doivent être situées dans l’UE.

L’immunité contre les accès extérieurs à l’UE serait également garantie en exigeant que les fournisseurs de services de cloud soient basés en Europe et ne soient pas contrôlés par des entités extérieures à l’UE.

La notion de « contrôle » est définie de manière très étroite. Les entreprises doivent être totalement indépendantes des lois non européennes, car les relations établies par la propriété, les droits ou les contrats sont considérées comme ayant une influence décisive sur une entreprise, d’après le document.

Les échanges entre les fournisseurs de services de cloud et les fournisseurs basés en dehors de l’UE devront répondre à des exigences spécifiques en termes d’autorisation de sécurité et de supervision. Même les entreprises dont le siège est situé dans l’UE mais dont les investisseurs ou les opérations sont à l’étranger pourraient avoir un accès limité.

« Cela nuira directement [aux fournisseurs de services de cloud] et signifiera, plus largement, que l’économie européenne y perdra en termes de choix et de qualité des offres de cloud », a déclaré un porte-parole de Digital Europe à EURACTIV.

Alors que le projet de texte indique qu’il s’agit de «  mesures techniques  », certains États membres et plusieurs représentants de l’industrie technologique s’opposent à ce que les discussions restent purement au niveau technique et font pression pour une discussion politique.

Qu’est-ce que l’EUCS ?

L’EUCS est un acte de législation secondaire de la loi européenne sur la cybersécurité qui vise à renforcer la confiance et la sécurité dans les produits et services importants. Il s’agit d’un cadre volontaire, à l’échelle de l’UE, pour les certificats de cybersécurité, destiné à lutter contre la fragmentation entre les États membres, à faciliter le commerce et la compréhension des caractéristiques de sécurité.

Les produits et services des TIC (Technologies de l’information et de la communication) sont certifiés conformément à un ensemble détaillé de règles, d’exigences techniques, de normes et de procédures.

Les utilisateurs seront informés du risque de cybersécurité par le biais de trois niveaux de garantie : basique, substantiel et élevé, ce dernier indiquant qu’un produit certifié a passé les tests de sécurité les plus élevés. Les exigences de souveraineté proposées ne s’appliqueraient qu’à l’assurance de haut niveau.

Arguments contre les exigences de souveraineté

Les Pays-Bas, la Suède et l’Irlande ont partagé en avril un document officieux, consulté par EURACTIV, faisant valoir que tous les fournisseurs de services en nuage s’efforceront probablement d’obtenir une certification au troisième niveau « car les fournisseurs de services de cloud sont souvent partie intégrante de la chaîne d’approvisionnement de secteurs tels que le gouvernement et les infrastructures et services vitaux. »

En outre, les experts s’attendent à ce que la certification devienne obligatoire à l’avenir.

« Par conséquent, les exigences proposées en matière de souveraineté dans le cadre du schéma du cloud pourraient avoir des effets de grande ampleur pour les entreprises (sous-traitants) impliquées dans la fourniture de services de cloud et leur capacité à développer leurs services et à être compétitives sur le marché mondial  », indique le document officieux.

Ils affirment également que les exigences de souveraineté sont difficiles à mettre en œuvre et à contrôler, ce qui entraîne des coûts élevés et affecte la concurrence. Cela pourrait avoir pour conséquence de restreindre la concurrence à un plus petit nombre de fournisseurs.

« Ces exigences n’ont rien à voir avec les préoccupations en matière de cybersécurité, certains peuvent même affirmer qu’il s’agit d’une approche protectionniste poussée par certains gouvernements nationaux », a déclaré Alexandre Roure, directeur des politiques publiques au bureau européen de l’association professionnelle CCIA.

Ces exigences ont été avancées par la France, l’Allemagne, l’Italie et l’Espagne, ont confirmé plusieurs responsables européens.

Par ailleurs, ces exigences pourraient créer un nouveau point de friction entre l’UE et les États-Unis ainsi que d’autres partenaires commerciaux, a souligné Nigel Cory, directeur associé au think tank Information Technology and Innovation Foundation.

Le chef de l’agence européenne de cybersécurité met en garde contre les cyber-menaces

À l’occasion du programme d’exercices paneuropéens Cyber Europe, le directeur exécutif de l’agence européenne pour la cybersécurité a déclaré que les États membres devaient rester vigilants face aux cyber-incidents et à leurs conséquences potentielles.

Manque de transparence

Le processus d’élaboration a également été critiqué en raison de «  la transparence insuffisante et du manque d’engagement des parties prenantes  », selon une déclaration signée par des représentants de l’industrie technologique (CCIA, ITI, BSA et AmCham EU).

«  Nous avons été particulièrement déconcertés par la manière dont les propositions relatives à ces exigences ont été présentées. Le processus a été mené par des acteurs individuels et des États membres, les parties prenantes de l’industrie et les autres États membres étant laissés dans le flou et se voyant maintenant demander d’accepter une nouvelle version du dispositif comme un fait accompli  », a déclaré un porte-parole de l’organisme Digital Europe à EURACTIV.

Les représentants de l’industrie technologique ont exhorté l’ENISA et la Commission européenne à informer les parties prenantes de l’état de la discussion et à s’engager avec elles tout au long du processus de finalisation.

Ils appellent également les États membres à rejeter les exigences de souveraineté et à demander une évaluation d’impact plus approfondie.

Les étapes à venir

« Il y a actuellement un projet définitif complet, comprenant toutes les exigences, qui est en cours d’examen par l’AHWG (Ad-Hoc Working Group), et qui devrait être soumis à l’ECCG (Groupe européen de certification de cybersécurité) pour obtenir son avis », a informé un porte-parole de l’ENISA à EURACTIV.

Cet examen et cet avis peuvent ensuite aboutir à d’autres efforts visant à finaliser le système avant de le soumettre à la Commission qui, à son tour, peut alors adopter un tel système par le biais de l’acte d’exécution. La prochaine réunion de l’ECCG est prévue pour le 28 juin.

Subscribe to our newsletters

Subscribe