Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

EUCS : la certification cloud européenne sous le feu des critiques en France

Chiens de faïence

EUCS : la certification cloud européenne sous le feu des critiques en France

La future directive est la cible d’un concert nourri de critiques, particulièrement en France. En cause, la dernière révision du texte, qui abandonne l’exigence de souveraineté pour les acteurs souhaitant la certification. Guillaume Poupard, ancien directeur de l’ANSSI, et le Cigref sont notamment montés au créneau.

Le 18 avril à 17h02

Il y a quelques jours, nous relations la situation complexe vécue en Europe par le rachat de VMware par Broadcom. Henri d’Agrain, délégué général du Cigref, avait résumé la situation. Il fustigeait l’abandon des licences perpétuelles, la hausse parfois explosive du coût engendré par les abonnements et les entreprises prises à la gorge. Il dénonçait un abus de position dominante et appelait l’Europe à réagir fermement, car elle se trouve déjà une position risquée de dépendance technologique.

Cette dépendance est au cœur de nouvelles tensions autour du projet de certification EUCS, pour European Union Cybersecurity Scheme for Cloud Services. Élaboré par l’ENISA, l’agence européenne pour la cybersécurité, il doit promouvoir la sécurité du cloud à travers un processus visant à renforcer l’indépendance de l’Europe, face à des États-Unis et à une Chine qui s’enfoncent dans un nouveau protectionnisme.

Les objectifs d’EUCS

Les problèmes sont tangibles et apparaissent au grand jour, particulièrement ces dernières années. La dépendance aux GAFAM est forte en Europe. Le cas Health Data Hub résume à lui seul toute l’étendue du souci, avec des données de santé hébergées dans le cloud Azure de Microsoft. L’une des grandes questions est de savoir quand et comment l’infrastructure sera migrée vers un prestataire français et européen. C’était d’ailleurs le sens d’un rapport interministériel sur le sujet.

La certification EUCS est d’autant plus attendue sur ce terrain qu’elle doit se substituer aux réglementations nationales, comme SecNumCloud en France ou C5 en Allemagne. Son objectif principal est donc l’évaluation de la sécurité et des pratiques liées, en harmonisant les pratiques en Europe.

La France a pesé de tout son poids dans l’élaboration d’EUCS, SecNumCloud servant en quelque sorte de référence. Il s’agit donc bien d’une élévation globale du niveau de sécurité des solutions cloud en Europe. C’est du moins l’objectif visé.

EUCS définit quatre niveaux de sécurité : Basic, Substantial, High et High+. Plus on monte, plus les exigences sont élevées. En résumé, le premier correspond dans les grandes lignes à la norme ISO 27001, le deuxième à la certification C5 allemande, le troisième à la certification SecNumCloud « classique », et le dernier à la version 3.2 de SecNumCloud. Cette dernière, la plus exigeante, contient le volet sur la souveraineté et l’imperméabilité aux lois extraterritoriales.

La souveraineté fait débat

Cependant, accolée à la sécurité technique, on trouve la sécurité juridique. Et là, tout le monde n’est pas d’accord. La France, surtout accompagnée par l’Espagne et l’Italie, milite pour une sécurisation élevée, avec des critères exigeants, y compris en se positionnant pour une interdiction totale de l’extraterritorialité. En d’autres termes, les données européennes restent en Europe.

La question est au cœur de nombreux débats depuis des années. La création de structures comme S3NS et Bleu a relancé ces interrogations, notamment sur la possibilité d’obtenir la certification SecNumCloud. Questions qui trouveraient une réponse avec EUCS, puisque dans la version initiale du texte, la certification ne pouvait être remise qu’aux entreprises européennes ou aux coentreprises créées avec des structures européennes. Ce qui est le cas de S3NS et Bleu.

Mais tout le monde n’est pas d’accord. Une douzaine de pays, dont l’Allemagne, milite pour des règles plus souples. L’extraterritorialité n’est pas considérée comme un problème majeur. D’abord parce que le Data Privacy Framework établit un accord d’adéquation entre l’Europe et les États-Unis. Ensuite parce que les pays peuvent avoir – pour le dire de manière prosaïque – d’autres chats à fouetter.

On peut observer ces dissensions dans la question qu’avait lancée Emeric Salmon (député RN) au ministère de l’Économie. S’interrogeant sur l’arrivée de l’offre European Sovereign Cloud d’AWS, il avait noté les propos enthousiastes de la présidente du BSI (équivalent allemand de l’ANSSI). Fallait-il en déduire que la France allait également lui ouvrir les bras ? Non, a répondu le ministère il y a deux jours. Et de rappeler que la certification allemande, C5, n’est pas équivalente à SecNumCloud.

Le vote reporté au mois prochain

Initialement, le vote décisif sur EUCS devait intervenir cette semaine. Reuters relatait cependant, le 16 avril, que les députés avaient finalement reporté la décision d’un mois. Signe clair d’une absence de consensus actuellement.

Pour la France, la signature de la nouvelle version poserait d’évidents problèmes, si à terme SecNumCloud devait être remplacé par EUCS. Car même dans son niveau le plus exigeant, il n’y aurait plus aucune mesure contre l’extraterritorialité. La validation d’EUCS sous sa nouvelle forme entrainerait un abaissement de la sécurité, telle que conçue par plusieurs pays, comme la France et l’Espagne.

La France est toutefois minoritaire dans la lutte qui s’annonce. Sa position est vue comme protectionniste. L’équation est d’autant plus délicate que certains membres de l’Union ne semblent pas croire à un cloud européen souverain qui pourrait se battre à armes égales avec les grandes majors de l’informatique en nuage que sont Amazon, Microsoft ou encore Google.

C’est le combat que reflète EUCS : la vision d’une Europe devant montrer l’exemple, contre celle, plus pragmatique, d’une Europe laissant davantage faire le marché.

Une situation dénoncée par Guillaume Poupard

Le 8 avril, dans une publication sur LinkedIn, l’ancien directeur de l’ANSSI et actuellement directeur général adjoint de Docaposte a fait le point sur une situation qu’il dénonce.

« Force est de reconnaître qu’une majorité d’États Membres de l’Union européenne a clairement d’autres priorités que de développer l’Europe du numérique. Certains ne veulent surtout pas prendre le risque de réduire leurs rentrées fiscales, d’autres sont prêts à tout pour continuer à vendre des voitures de luxe ou importer du GNL, beaucoup ont pour priorité – légitime – leur protection militaire par l’OTAN dans un contexte géopolitique particulièrement tendu. Sans juger, force est de reconnaître que la sécurité du cloud et de nos données pèse malheureusement bien peu »

Il évoque ce qui constitue, selon lui, le « véritable enjeu » : « admettre et assumer que certaines données et certains processus sont très sensibles, que leur traitement doit être réalisé dans des conditions de sécurité technique, opérationnelle et juridique particulièrement strictes et qu’une des conséquences est alors de s’assurer que seul le droit européen s’applique, à l’exclusion de tout autre ».

Il milite clairement pour un retour à l’ancienne version et son volet sur la sécurité juridique pour les niveaux de protection les plus élevés.

Le Cigref fustige lui aussi le changement

Trois jours plus tard, le 11 avril, c’était au tour du Cigref de s’indigner. Dans une lettre à Ursula von der Leyen, présidente de la Commission européenne, l’association française – qui rappelle représenter 155 grandes entreprises et administrations françaises – fustigeait, elle aussi, la dernière version du projet EUCS, par la voix de son président, Jean-Claude Laroche.

« Nous sommes particulièrement inquiets de constater que la dernière version du projet EUCS semble s'éloigner de son objectif essentiel qui est de garantir un haut niveau de sécurité et d'immunité contre les législations extraterritoriales non européennes. Les pressions exercées par l'industrie technologique américaine et certaines interventions diplomatiques suggèrent que l'EUCS pourrait être déclassé, privant ainsi les entreprises et les administrations publiques européennes d'un outil essentiel pour protéger leurs données contre les acteurs extraterritoriaux. »

La situation est jugée « inacceptable ». Les propos du Cigref ne sont pas étonnants. Ils transparaissaient nettement dans les inquiétudes d’Henri d’Agrain au sujet de l’autonomie technique et stratégique de l’Europe sur le cas VMware. L’extraterritorialité reste un sujet critique, le Cigref citant notamment le FISA américain et la loi chinoise.

« Certaines puissances étrangères disposent aujourd'hui d'une capacité inégalée dans l'histoire du renseignement pour mener sans entrave particulière leurs activités d'intelligence économique dans l'espace numérique européen. La mise en place d'un tel niveau de certification au sein de l'EUCS serait une réponse directe à la menace que représentent ces pratiques de surveillance et constituerait un signal fort quant à l'ambition de notre continent de protéger son patrimoine informationnel stratégique, bien au-delà des seules données personnelles », a ajouté Jean-Claude Laroche.

Commentaires (10)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Encore merci a nos amis allemand qui jouent pour les USA au détriment du continent Europe dont ils sont géographiquement membre.

Ce qui me semble poser problème, c'est le niveau le plus élevé. rien n’empêche les entités concernées d'utiliser le niveau inférieur si ça correspond a leurs besoins/attentes.
votre avatar
C'est dommage que ton commentaire simplifie le contexte à ce point. Les Allemands ne sont pas pour les USA mais pour les autres sujets qui à priori inquiètent leurs décisionnaires.

Certains ne veulent surtout pas prendre le risque de réduire leurs rentrées fiscales, d’autres sont prêts à tout pour continuer à vendre des voitures de luxe ou importer du GNL, beaucoup ont pour priorité – légitime – leur protection militaire par l’OTAN dans un contexte géopolitique particulièrement tendu

Il est vrai que face à une guerre potentielle avec la Russie, la sécurité des données semble de bien moindre importance. Une loi nationale peut très bien obligé certains acteurs à héberger français.
votre avatar
Oui bon j'ai pris des raccourcis un peu rapide. Mais ça m'agace un peu de voir l'Allemagne ne pas jouer la carte Europe dans pas mal de projet concernant la defense européenne. Mais comme toujours, cela ne concerne que moi.
votre avatar
Guillaume Poupard balance du lourd ! :bravo:

C'est affligeant cet article (ce qu'il annonce, je veux dire : je ne critique pas le messager).

On dirait que les Allemands n'ont pas de secrets industriels à protéger. Ils sont fous !
le Data Privacy Framework établit un accord d’adéquation entre l’Europe et les États-Unis.
Ils arrivent à rester sérieux en disant ça ?
C'est le moins pire des 3 accords mais attendons l'avis de la CJUE avant de dire que cet accord est valide.

J'espère que ça ne sera pas voté avant les nouvelles élections et qu'Ursula ne sera pas reconduite, mais j'ai bien peur du contraire.

Sera-t-il possible si c'est voté en l'état d'imposer quand même la sécurité juridique au niveau national en arguant de la sécurité nationale ou autre argument du même type ?
votre avatar
Toutafay !
N'étant pas juriste je dis ça avec des pincettes de rigueur, mais je vois pas pourquoi le procès Schrems/Noyb v3 ne finirait pas comme les autres, c'est à dire de conclure qu'utiliser les services des GAFAM est illégal en Europe. Surtout que le Congrès ricain vient de renouveler l'agrément de son FISA.

L'Allemagne joue aussi un double jeu puisque c'est majoritairement elle qui pousse et finance le développement de OpenDesk (https://gitlab.opencode.de/bmi/opendesk/info/-/blob/main/README_EN.md?ref_type=heads) apparemment c'est pas pareil que OpenDesktop (https://www.opendesktop.org/). Comme d'hab, Français et Allemands collaborent moyennement puisque si j'ai tout bien compris la France a aussi aidé financièrement une alternative fondée sur Etherpad pour son SecNumCloud. OpenDesk a l'air d'être le plus complet et avancé des deux projets (en tout cas publiquement).
votre avatar
L'Irlande, le Luxembourg, Les Pays-Bas... ne feront jamais ce Cloud européen parce qu'ils ne veulent absolument pas perdre la manne fiscale des GAFAM sans parler des emplois locaux qu'ils représentent. Le reste, c'est des palabres de technocrates. "Un intellectuel assis va moins loin qu'un con qui marche." Lino Ventura, Un taxi pour Tobrouk.

Cette affaire, avec celle de nos données médicales hébergées par Azure, illustre parfaitement la totale dépendance de l'Europe et du Monde par rapport aux technologies US. Si demain les US nous font le coup de Huawei, on ressortira les Minitels !
votre avatar
Faire croire qu'il n'y a pas de solution qui soit plus récente que les Minitel est justement l'un des mensonges éhontés que les GAFAM cherchent à diffuser en sous-mains. Nextcloud+LDAP servent les besoins d'organisations de plusieurs dizaines de miliers de salariés. OpenDesk (que j'ai cité plus haut) intègre plein de briques open source pour les grosses organisations qui sont sérieuse avec la protection de leurs données.
Donc en parlant de Minitels on renforce cette idée de dépendance de façon injustifiée.

Ce qui manque n'est pas technique mais de la volonté politique. Justement on a besoin de l'intellectuel pour pousser à une prise de conscience que cette dépendance n'est absoluement pas une fatalité. Je sais pas si dans cette analogie le "con qui avance" c'est l'admin sys qui installe un Nextcloud pour sa boite de 200 personnes pour lui éviter la prison GAFAM mais si c'est ça alors oui :)
votre avatar
Le Minitel est une illustration à ne pas prendre au pied de la lettre. Néanmoins, si demain, les US demandent à Google de brider voire d’arrêter ses services (Gmail, Workspace, moteur de recherche, Androïd…), on va bien le sentir passer.Idem avec Microsoft.

En réalité, les US étant à l’origine d’internet et de l’informatique plus largement, on leur doit énormément de techno et de protocoles. C’est utopique de vouloir « désaméricaniser » les fondements de la technologie, il faut se concentrer sur l’avenir, c’est là que je rejoins ton propos.

Il,s’agit de vision et de volonté politique. Il y a plein de talents en France et en Europe et il est navrant de constater que nos dirigeants ne leur font pas assez confiance et se laissent encore trop souvent bouffer par les puissants lobby US (mais pas que) installés à Bruxelles. Les US défendent leurs intérêts avec férocité et c’est bien normal, il serait tant qu’on en fasse de même.

La citation d’Audiard, c’est de l’ironie bien sûr. Le con n’est pas celui qui avance, mais bien ceux font du sur-place, aussi brillante leur conversation soit-elle. La réflexion est évidemment nécessaire mais si elle n’aboutit pas sur des actes ou si elle se fait damer le pion par d’autres, elle n’aura servie à rien.

Pendant le Covid, c’était le chacun pour soi et sauve qui peut, y compris pour les pays supposés alliés et amis. Ce qui s’est produit dans la santé pourrait très bien se reproduire dans la tech. « Les nations n’ont pas d’amis, seulement des intérêts. »
votre avatar
Voilà on est plutôt d'accord.
Et la débandade c'est aussi diplomatique et militaire. Quand, après 30 ans de poussée politique à vouloir construire une défense Euriopéenne et une autonomie stratégique (contre les nationalistes de chaque pays, pour qui être faibles face aux nations autoritaires est un avantage), un Poutine quelconque va faire valser tout ça et tout le monde se réfugié derrière l'OTAN et la supposée protection ricaine (qui dépend du Congrès et donc des obscurantistes ricains). C'était l'occasion d'une prise de responsabilité commune, et ça s'est transformé en vassalisme consternant. (et les mêmes nationalistes, qui hier critiquaient la défense européenne se sont empressé de critiquer la dépenance à l'OTAN).
votre avatar
C’est le combat que reflète EUCS : la vision d’une Europe devant montrer l’exemple, contre celle, plus pragmatique, d’une Europe laissant davantage faire le marché.
J'ai l'impression que ce n'est pas du tout le débat, si le marché (américain) n'était pas gangréné par les lois extra-territoriales US personne n'y trouverait rien à redire.

Je ne comprends pas trop le problème avec la règle de souveraineté : qu'on le laisse dans le plus haut niveau, si l'Allemagne n'en veut pas, il n'aurait simplement qu'à ne pas l'utiliser.

EUCS : la certification cloud européenne sous le feu des critiques en France

  • Les objectifs d’EUCS

  • La souveraineté fait débat

  • Le vote reporté au mois prochain

  • Une situation dénoncée par Guillaume Poupard

  • Le Cigref fustige lui aussi le changement

Fermer