Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Cybersécurité européenne : en France, les critiques continuent de pleuvoir sur la certification EUCS

Not high enough

Cybersécurité européenne : en France, les critiques continuent de pleuvoir sur la certification EUCS

La cybersécurité européenne passera par la très attendue directive EUCS. Elle aura pour mission de planter un cadre commun et les bases pour un marché numérique unique sécurisé. Problème, ce schéma est décrié par plusieurs pays, dont la France. La CNIL avait pointé plusieurs problèmes en juillet. La Commission Supérieure du Numérique et des Postes et le Cigref lui emboitent le pas.

Le 09 septembre à 09h17

Face à l’explosion du cloud et des cas d’usage, l’Europe travaille depuis longtemps un schéma commun. Il doit assurer un cadre définissant la cybersécurité par paliers, permettant notamment de réserver certains usages aux plus élevés. Toutes les données sont concernées, aussi bien personnelles que les autres, dans tous les degrés de sensibilité.

L’European Union Cybersecurity Scheme for Cloud Services, ou EUCS, est la concrétisation de ce travail de règlementation. À terme, il supplantera les règlementations nationales, dont SecNumCloud en France, créé par l'ANSSI. Trois niveaux de sécurité sont proposés : Basic, Substantial et High. Très logiquement, plus on grimpe dans les niveaux, plus les exigences sont grandes.

Cependant, dans une version précédente du texte, un quatrième niveau était présent. Nommé High+, il reprenait dans les grandes lignes la version 3.2 de SecNumCloud. Avec, en son sein, une exigence spécifique : l’imperméabilité aux lois extraterritoriales. C’est ce point qui fait débat depuis.

L’immunité extraterritoriale au cœur de la polémique

La version 3.2 du label SecNumCloud intègre les conclusions de l’arrêt Schrems II de la Cour de justice européenne. Ainsi, pour qu’une structure prétende au précieux sésame, elle ne doit s’adresser qu’à des prestataires européens. Ceci, pour éviter que les lois d’autres pays entrent en jeu.

Sans les nommer directement, les États-Unis sont le premier exemple. La Section 702 de la loi FISA et d’autres textes permettent au renseignement de piocher dans les données détenues par les entreprises de nationalité américaine. Et ce, quel que soit l’emplacement de leurs serveurs. Un effacement des frontières géographiques contre lequel s’était notamment battu Microsoft. Sans succès.

À l’échelle européenne, l’essence de SecNumCloud 3.2 s’est retrouvée dans le niveau High+. Ce dernier a provoqué cependant de nombreux soubresauts géopolitiques. Et pour cause : des critères techniques et juridiques d’immunité des services cloud aux législations non européennes et à portée extraterritoriale ont été pris comme une mesure ciblée par les États-Unis.

Réaction virulente aux États-Unis

L’objectif européen était d’assurer que la sécurité la plus élevée s’accompagnait d’une garantie contre ces lois extraterritoriales. L’année dernière cependant, la Computer & Communications Industry Association (CCIA) et la Business Software Alliance (BSA), deux lobbys américains, s’en sont pris au niveau High+.

« EUCS fait partie d'un effort concerté plus large de l'Europe pour mettre en œuvre un programme de « souveraineté numérique » qui cherche à désavantager les entreprises américaines au profit d'alternatives locales, menaçant potentiellement les intérêts économiques et de sécurité nationale des États-Unis », pouvait-on ainsi lire dans un courrier envoyé à plusieurs membres du gouvernement de Joe Biden en mai de l’année dernière.

Quelques mois plus tard, Antony Blinken, le secrétaire d’État (en charge des Affaires étrangères) envoie lui-même un courrier à la présidente de la Commission européenne, Ursula von der Leyen. Celle-ci était prévenue : intégrer le niveau High+ allait conduire à une détérioration des relations entre les États-Unis et l'Union européenne, aussi bien sur l’économie que la sécurité.

On connait la suite : début 2024, l’ENISA (Agence de l’Union européenne pour la cybersécurité) publie une nouvelle version d’EUCS. Le niveau High+ disparait et le concert des critiques commence. Il y a deux mois, c’était notamment au tour de la CNIL, qui évoquait tout particulièrement le cas des données sensibles.

La CSNP rejoint la CNIL

La Commission Supérieure du Numérique et des Postes n’en pense pas moins. Dans un avis publié le 4 septembre, elle rejoint pleinement la CNIL dans ses conclusions.

On retrouve bien la disparition de la protection la plus élevée pour les données sensibles. Autre danger, l’absence de stimulation de l’offre européenne qui, dans le cadre d’EUCS, aurait pu s’épanouir d’autant plus rapidement que la demande aurait grimpé en flèche. Impossible également pour les acteurs publics ou privés d’héberger dans le cloud leurs données les plus sensibles. Quand on sait que 70 % du marché du cloud en Europe appartient à trois acteurs américains (Amazon, Microsoft et Google), on comprend la marge de progression.

La CSNP évoque un autre « risque majeur » : « la différence d'interprétation des principes de proportionnalité et de nécessité entre l'Union européenne et les États-Unis ». Cette question est bien centrale dans le Data Privacy Framework, mais seulement pour les données personnelles. En outre, en Europe, « les droits individuels priment ». Aux États-Unis, « la sécurité nationale occupe une place prépondérante ».

Danger aussi pour la loi SREN

EUCS, avec ou sans niveau High+, remplacera tôt ou tard SecNumCloud. Si le niveau est finalement réintégré, tout devrait continuer en France selon la trajectoire prévue. Avec comme bénéfice que les services certifiés SecNumCloud devraient obtenir très rapidement leur label High+. Si sa disparition est actée en revanche, il y aura de nombreuses conséquences.

Le label SecNumCloud pourrait disparaître. Son imperméabilité aux lois extraterritoriales pourrait être attaquée, car jugée trop restrictive et discriminante, face à un cadre juridique commun. SecNumCloud pourrait ainsi pécher par zèle. Interrogé sur ce point, l'ANSSI, nous a simplement indiqué « n'avoir aucun élément à partager ».

Comme l’indique en outre la CSNP, « l’État français se trouverait démuni » dans la mise en œuvre de sa stratégie « cloud au centre ». Tout comme la loi SREN d’ailleurs, qui vise à réguler l’espace numérique, en exigeant notamment un niveau de sécurité très élevé pour certaines données. Ce serait le cas par exemple des données de santé, ce qui faisait dire au député Philippe Latombe que le sort du Health Data Hub (qui stocke les données dans Azure de Microsoft) était très incertain.

Notez qu’en cas de réintégration de High+ dans EUCS, plusieurs pays d’Europe feront grise mine, dont l’Allemagne. Pour la Commission, les opposants au niveau High+ peuvent être regroupés en deux catégories. D’un côté, une sensibilité aux menaces américaines et la perte de sécurité qui pourrait en découler. De l’autre, une activité économique très dépendante du marché américain. C’est le cas de l’Allemagne.

La CSNP demande au gouvernement d’agir

Sans surprise, la CSNP met en avant SecNumCloud et souhaite la réintégration du niveau High+ dans le projet EUCS. Pour la Commission, il s’agit d’un « enjeu essentiel d'autonomie technologique pour l'Union européenne, la condition de l’émergence d’une industrie européenne des services cloud, et une impérieuse nécessité pour protéger les données sensibles et stratégiques, à caractère personnel ou non, des organismes publics et privés qui ont besoin de préserver leur patrimoine informationnel contre les ingérences étrangères ».

Elle recommande plusieurs actions au gouvernement, notamment de communiquer ouvertement sur l’état des négociations et de préciser sa position. La CSNP l’invite à se rapprocher des pays membres de l’Union contre le niveau High+ pour qu’ils s’expliquent sur leurs raisons. Elle souhaite également que le gouvernement fasse « le nécessaire auprès de la Commission européenne pour qu’elle sursoie à toute décision d’adoption de la version actuelle du schéma de certification », le temps qu’une analyse approfondie soit menée, en particulier sur les conséquences géopolitiques d’un abandon du niveau High+.

Le Cigref emboite le pas

Sans trop de surprise non plus, le Cigref – qui regroupe les DSI de nombreuses entreprises et administrations – est d’accord avec la Commission supérieure, dont elle loue « la position claire et argumentée ».

Le Cigref rappelle une nouvelle fois « le besoin de disposer d'un schéma de certification, à valeur légale, et mis en œuvre de manière homogène au sein de l'Union européenne ». L’association avait déjà fait valoir son point de vue en avril dernier, au sein d’un courrier adressé à Ursula von der Leyen. Nous nous en étions faits l’écho, tout comme de la critique de Guillaume Poupard, ancien directeur de l’ANSSI et aujourd’hui directeur général adjoint de Docaposte.

Commentaires (11)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Le jour où l'UE aura compris qu'il faut s'affranchir des US et de la Chine on aura fait un grand pas en avant.
votre avatar
Qu'entends-tu pas "s'affranchir" ?

On commerce avec ces 2 pays et l'Allemagne (en particulier) à beaucoup à perdre à se les mettre à dos. C'est souvent l'Allemagne qui pèse pour affaiblir l'UE à son profit commercial.
Et l'UE sans l'Allemagne, ce n'est plus grand chose.

Je ne dis pas que j'approuve, bien au contraire, mais c'est la réalité politique du moment. L'UE est une construction bancale, une union qui s'est renforcée en terme de pouvoir sur les états mais pas une fédération. À la limite, il faudrait aller jusqu'à un état fédéral pour avoir une politique plus unifiée.
votre avatar
On a beaucoup à perdre à se les mettre à dos (surtout les USA), mais encore bien plus a en être aussi dépendants. On le voit très bien avec la défense : le réveil après 30 ou 40 ans d'OTAN portée par les USA fait très mal quand on se rend compte qu'un gogol à la maison blanche peut très bien faire disparaître intégralement le soutien militaire US à l'Europe sur un caprice.

La dépendance commerciale à la Chine est encore plus grave : quels sont nos moyens de pression le jour où Mao II décide de se faire Taiwan ? Sauf à imaginer qu'on empêchera la PLAN d'accéder à l'île avec le Charles de Gaulle, il nous faut les reins solides pour pouvoir mettre en place des sanctions commerciales contre la Chine (qui cherchera de toute façon à nous couper les pattes en coupant ses exportations de matériaux et composants critiques, tout comme la Russie l'avait fait en préparant le terrain pour organiser la pénurie et le besoin de gaz avant de commencer son invasion de l'Ukraine)

Tout voir par le prisme d'un peu de pouvoir d'achat ou de PIB (je considère que, même 10% ou 20% de PIB sacrifiés est mieux que de devoir rentrer en économie de guerre, voire en guerre tout court) est le meilleur moyen de se mettre dans une spirale extrêmement dangereuse en s'empêchant un sacrifice désagréable mais nécessaire pour éviter un sacrifice encore plus grand par la suite.
votre avatar
Ok, avec ton 1er paragraphe mais je suis dubitatifs sur le reste. Bon déja tu veux vendre à qui aux US ? Je suis désolé mais pour l'instant il bloque la Chine mais aussi des produits européens et vu leur prise de position (MAGA), ils vont encore plus bloquer leur marché à l'import. Quant à Taiwan mais qu'est ce que ça peut te à faire, l'Europe et les institutions n'est même pas capable d'arrêter un état comme Israël.

Pour la Russie petite précision (et j'ai l'impression de me répéter), les sanctions ne changent rien (de toute manière il s'y étaient préparés depuis les sanctions de 2014) et surtout ça se retourne contre nous. La Russie n'a rien coupé c'est nous qui avons décidé de ses sanctions donc pas besoin de rejeter la faute sur d'autres. D'ailleurs, nous continuons encore à leur acheter du gaz. Pour le reste, je suis désolé mais on a des bras cassé à tous les niveau il suffit de voir notre déficit à 5.1 et montrent l’inconséquence des prévisions du gouvernement démissionnaire. Mais plutôt que de le reconnaître, la plupart préfèrent s’enfermer dans le déni ou de rejeter la faute sur les autres. Donc avant de parler de sacrifice ou de rentrer en guerre comme tu dis ce qui nous couterais très très cher et où l'on aurait franchement au contraire tout à perdre, il serais plus intéressant de s'occuper de notre économie et de faire du social un axe majeur de développement.
votre avatar
Tout à fait.

Cela va faire 20 ans que je répète au point d'avoir l'impression d'avoir rayé un disque qu'être allié des États-Unis est encore pire que leur être neutre ou même hostile : ils exploitent massivement les accès que leur donnent leurs alliés, sans réciprocité.

Nous n'avons rien à gagner à continuer à être dépendants.
Ce qui est ironique, c'est que l'Europe ne sait pas être autre chose qu'économique… et elle se révèle pourtant incompétente à être une force autonome.

Concernant l'aspect militaire, nos crétins en chef on préférés revenir progressivement dans l'OTAN plutôt qu'au moins une alternative.

Les jeunes générations sont incapables de se désemberlificoter des services des grosses entreprises États-uniennes sont elles ne savent même plus qu'il faudrait se méfier.
À commencer par l'école et l'université, biberonnant les élèves & étudiants à leurs services par criminels manque de temps, incompétence et manque d'intérêt.

Les États-Unis ne comprennent que le rapport de forces : tout le reste n'est que de l'endormissement.

Quant à la Chine, je ne sais tellement pas par où commencer, que lorsque quelqu'un se posera (sans conditionnel) sérieusement la question de "partenariats" avec eux, je m'inquièterai de leur détermination à ignorer l'évidence pendant les 60-70 dernières années.
votre avatar
Mouais pour l'instant et même pour les 20 ans à venir, je craindrais plus les US que la Chine.
votre avatar
Vous êtes aveuglés par votre anti américanisme (sur lequel surfent toutes les dictatures de merde pour vous faire avaler n'importe quel mensonge et accepter n'importe quel acte hostile). Au motif que les USA nous font régulièrement des coups pendables commercialement, vous les mettez sur un pied d'égalité avec des régimes qui ont prouvé qu'ils n'ont rien à foutre d'un monde régi par des règles (matérialisées par l'ONU) et qui enchaînent les conquêtes territoriales par la force, ou s'y préparent, et font tout pour saper les sociétés démocratiques.

Arrêtez de rêver, la Chine, la Russie, l'Iran et la Corée du N n'ont absolument pas pour but de renverser simplement la position de leader des USA (ce qui, vous pensez, nous arrangerait aussi, nous, Européens), mais de faire tomber toutes les démocraties vers des dictatures avec lesquelles il leur sera bien plus simple de faire affaire sans état d'âme. Il suffit de voir ce que deviennent des pays comme le Mali ou le Burkina une fois "délivrés" des méchants Français par les gentils PMC russes.

Dans un monde où tous les pays sont des dictatures, les régimes mafieux par nature seront rois.
votre avatar
« EUCS fait partie d'un effort concerté plus large de l'Europe pour mettre en œuvre un programme de « souveraineté numérique » qui cherche à désavantager les entreprises américaines au profit d'alternatives locales, menaçant potentiellement les intérêts économiques et de sécurité nationale des États-Unis »
Alors, les intérêts économiques, je veux bien. Les intérêts de sécurité nationale, j'avoue que je ne comprends pas.

A moins que ce soit un problème de sécurité car ils ne pourront plus regarder nos données / métadonnées, auquel cas, c'est une justification plus que nécessaire pour un niveau High+.
votre avatar
Comme d'habitude les EU se plaignent quand ils leur arrivent ce qu'ils font subir aux autres... Huawei, tout ça...
S'ils peuvent entendre que bloquer le fabricant d'une autre puissance économique a du sens pour cause de sécurité, qu'est-ce qui les empêche de comprendre que les européens veulent s'en protéger aussi. On entends pas que les EU enfreignent les accords de l'OMS quand ils bannissent des entités d'échanger en dollars dans le monde entier.
C'est toujours 2 poids 2 mesures : on veut pas subir ce qu'on vous fait subir, nah !
De plus, le niveau High+ ne sera pas celui qui sera choisis pour la majorité des prestations mais plutôt une minorité (vu le tarif que cela va coûter). C'est vraiment puéril de la part des acteurs américains.
votre avatar
C'est marrant de voir dans cet article la CNIL être tatillonne sur la rédaction du règlement européen et sur un autre article voir qu'on lui reproche de ne pas appliquer son rôle de gendarme du rgpd...

Ils veulent quoi ? c'est quoi l'intérêt de prendre des postures lors de la rédaction alors qu'ils ne feront rien pour que le règlement soit respecté ensuite???
votre avatar
Ce n'est pas antinomique.
La CNIL veut que le RGPD soit appliqué (par ceux qui traitent des données personnelles) mais travaille plus sur la communication préventive en donnant des lignes directrices ou en accompagnant certains intervenants ou même punitive : elle communique aussi quand elle punit (fortement) un gros intervenant.

Par contre, elle ne pense pas utile de traiter correctement toutes les plaintes surtout quand il s'agit de relativement petits intervenants. C'est entre autre ce qui lui est reproché dans l'autre article. C'est peut-être dû aussi à la difficulté de traiter beaucoup de plaintes avec un assez petit budget même si d'autres pays on montré que c'est possible.
Sur le fond, elle viole le RGPD en ne traitant pas correctement toutes les plaintes, mais les procureurs font la même chose en France (pas le viol de la loi, mais le tri dans les plaintes) quand ils classent sans suite une plainte en jugeant l'opportunité de la poursuite.

Cybersécurité européenne : en France, les critiques continuent de pleuvoir sur la certification EUCS

  • L’immunité extraterritoriale au cœur de la polémique

  • Réaction virulente aux États-Unis

  • La CSNP rejoint la CNIL

  • Danger aussi pour la loi SREN

  • La CSNP demande au gouvernement d’agir

  • Le Cigref emboite le pas

Fermer