EUCS : la certification cloud européenne sous le feu des critiques en France

La future directive est la cible d’un concert nourri de critiques, particulièrement en France. En cause, la dernière révision du texte, qui abandonne l’exigence de souveraineté pour les acteurs souhaitant la certification. Guillaume Poupard, ancien directeur de l’ANSSI, et le Cigref sont notamment montés au créneau.

Il y a quelques jours, nous relations la situation complexe vécue en Europe par le rachat de VMware par Broadcom. Henri d’Agrain, délégué général du Cigref, avait résumé la situation. Il fustigeait l’abandon des licences perpétuelles, la hausse parfois explosive du coût engendré par les abonnements et les entreprises prises à la gorge. Il dénonçait un abus de position dominante et appelait l’Europe à réagir fermement, car elle se trouve déjà une position risquée de dépendance technologique.

Cette dépendance est au cœur de nouvelles tensions autour du projet de certification EUCS, pour European Union Cybersecurity Scheme for Cloud Services. Élaboré par l’ENISA, l’agence européenne pour la cybersécurité, il doit promouvoir la sécurité du cloud à travers un processus visant à renforcer l’indépendance de l’Europe, face à des États-Unis et à une Chine qui s’enfoncent dans un nouveau protectionnisme.

Les objectifs d’EUCS

Les problèmes sont tangibles et apparaissent au grand jour, particulièrement ces dernières années. La dépendance aux GAFAM est forte en Europe. Le cas Health Data Hub résume à lui seul toute l’étendue du souci, avec des données de santé hébergées dans le cloud Azure de Microsoft. L’une des grandes questions est de savoir quand et comment l’infrastructure sera migrée vers un prestataire français et européen. C’était d’ailleurs le sens d’un rapport interministériel sur le sujet.

• • Données de santé : un rapport interministériel conseille la refondation et le renforcement du Health Data Hub

La certification EUCS est d’autant plus attendue sur ce terrain qu’elle doit se substituer aux réglementations nationales, comme SecNumCloud en France ou C5 en Allemagne. Son objectif principal est donc l’évaluation de la sécurité et des pratiques liées, en harmonisant les pratiques en Europe.

La France a pesé de tout son poids dans l’élaboration d’EUCS, SecNumCloud servant en quelque sorte de référence. Il s’agit donc bien d’une élévation globale du niveau de sécurité des solutions cloud en Europe. C’est du moins l’objectif visé.

EUCS définit quatre niveaux de sécurité : Basic, Substantial, High et High+. Plus on monte, plus les exigences sont élevées. En résumé, le premier correspond dans les grandes lignes à la norme ISO 27001, le deuxième à la certification C5 allemande, le troisième à la certification SecNumCloud « classique », et le dernier à la version 3.2 de SecNumCloud. Cette dernière, la plus exigeante, contient le volet sur la souveraineté et l’imperméabilité aux lois extraterritoriales.

La souveraineté fait débat

Cependant, accolée à la sécurité technique, on trouve la sécurité juridique. Et là, tout le monde n’est pas d’accord. La France, surtout accompagnée par l’Espagne et l’Italie, milite pour une sécurisation élevée, avec des critères exigeants, y compris en se positionnant pour une interdiction totale de l’extraterritorialité. En d’autres termes, les données européennes restent en Europe.

La question est au cœur de nombreux débats depuis des années. La création de structures comme S3NS et Bleu a relancé ces interrogations, notamment sur la possibilité d’obtenir la certification SecNumCloud. Questions qui trouveraient une réponse avec EUCS, puisque dans la version initiale du texte, la certification ne pouvait être remise qu’aux entreprises européennes ou aux coentreprises créées avec des structures européennes. Ce qui est le cas de S3NS et Bleu.

Mais tout le monde n’est pas d’accord. Une douzaine de pays, dont l’Allemagne, milite pour des règles plus souples. L’extraterritorialité n’est pas considérée comme un problème majeur. D’abord parce que le Data Privacy Framework établit un accord d’adéquation entre l’Europe et les États-Unis. Ensuite parce que les pays peuvent avoir – pour le dire de manière prosaïque – d’autres chats à fouetter.

On peut observer ces dissensions dans la question qu’avait lancée Emeric Salmon (député RN) au ministère de l’Économie. S’interrogeant sur l’arrivée de l’offre European Sovereign Cloud d’AWS, il avait noté les propos enthousiastes de la présidente du BSI (équivalent allemand de l’ANSSI). Fallait-il en déduire que la France allait également lui ouvrir les bras ? Non, a répondu le ministère il y a deux jours. Et de rappeler que la certification allemande, C5, n’est pas équivalente à SecNumCloud.

Le vote reporté au mois prochain

Initialement, le vote décisif sur EUCS devait intervenir cette semaine. Reuters relatait cependant, le 16 avril, que les députés avaient finalement reporté la décision d’un mois. Signe clair d’une absence de consensus actuellement.

Pour la France, la signature de la nouvelle version poserait d’évidents problèmes, si à terme SecNumCloud devait être remplacé par EUCS. Car même dans son niveau le plus exigeant, il n’y aurait plus aucune mesure contre l’extraterritorialité. La validation d’EUCS sous sa nouvelle forme entrainerait un abaissement de la sécurité, telle que conçue par plusieurs pays, comme la France et l’Espagne.

La France est toutefois minoritaire dans la lutte qui s’annonce. Sa position est vue comme protectionniste. L’équation est d’autant plus délicate que certains membres de l’Union ne semblent pas croire à un cloud européen souverain qui pourrait se battre à armes égales avec les grandes majors de l’informatique en nuage que sont Amazon, Microsoft ou encore Google.

C’est le combat que reflète EUCS : la vision d’une Europe devant montrer l’exemple, contre celle, plus pragmatique, d’une Europe laissant davantage faire le marché.

Une situation dénoncée par Guillaume Poupard

Le 8 avril, dans une publication sur LinkedIn, l’ancien directeur de l’ANSSI et actuellement directeur général adjoint de Docaposte a fait le point sur une situation qu’il dénonce.

Il évoque ce qui constitue, selon lui, le « véritable enjeu » : « admettre et assumer que certaines données et certains processus sont très sensibles, que leur traitement doit être réalisé dans des conditions de sécurité technique, opérationnelle et juridique particulièrement strictes et qu’une des conséquences est alors de s’assurer que seul le droit européen s’applique, à l’exclusion de tout autre ».

Il milite clairement pour un retour à l’ancienne version et son volet sur la sécurité juridique pour les niveaux de protection les plus élevés.

Le Cigref fustige lui aussi le changement

Trois jours plus tard, le 11 avril, c’était au tour du Cigref de s’indigner. Dans une lettre à Ursula von der Leyen, présidente de la Commission européenne, l’association française – qui rappelle représenter 155 grandes entreprises et administrations françaises – fustigeait, elle aussi, la dernière version du projet EUCS, par la voix de son président, Jean-Claude Laroche.

La situation est jugée « inacceptable ». Les propos du Cigref ne sont pas étonnants. Ils transparaissaient nettement dans les inquiétudes d’Henri d’Agrain au sujet de l’autonomie technique et stratégique de l’Europe sur le cas VMware. L’extraterritorialité reste un sujet critique, le Cigref citant notamment le FISA américain et la loi chinoise.

« Certaines puissances étrangères disposent aujourd'hui d'une capacité inégalée dans l'histoire du renseignement pour mener sans entrave particulière leurs activités d'intelligence économique dans l'espace numérique européen. La mise en place d'un tel niveau de certification au sein de l'EUCS serait une réponse directe à la menace que représentent ces pratiques de surveillance et constituerait un signal fort quant à l'ambition de notre continent de protéger son patrimoine informationnel stratégique, bien au-delà des seules données personnelles », a ajouté Jean-Claude Laroche.