La cybersécurité européenne passera par la très attendue directive EUCS. Elle aura pour mission de planter un cadre commun et les bases pour un marché numérique unique sécurisé. Problème, ce schéma est décrié par plusieurs pays, dont la France. La CNIL avait pointé plusieurs problèmes en juillet. La Commission Supérieure du Numérique et des Postes et le Cigref lui emboitent le pas.
Face à l’explosion du cloud et des cas d’usage, l’Europe travaille depuis longtemps un schéma commun. Il doit assurer un cadre définissant la cybersécurité par paliers, permettant notamment de réserver certains usages aux plus élevés. Toutes les données sont concernées, aussi bien personnelles que les autres, dans tous les degrés de sensibilité.
L’European Union Cybersecurity Scheme for Cloud Services, ou EUCS, est la concrétisation de ce travail de règlementation. À terme, il supplantera les règlementations nationales, dont SecNumCloud en France, créé par l'ANSSI. Trois niveaux de sécurité sont proposés : Basic, Substantial et High. Très logiquement, plus on grimpe dans les niveaux, plus les exigences sont grandes.
Cependant, dans une version précédente du texte, un quatrième niveau était présent. Nommé High+, il reprenait dans les grandes lignes la version 3.2 de SecNumCloud. Avec, en son sein, une exigence spécifique : l’imperméabilité aux lois extraterritoriales. C’est ce point qui fait débat depuis.
L’immunité extraterritoriale au cœur de la polémique
La version 3.2 du label SecNumCloud intègre les conclusions de l’arrêt Schrems II de la Cour de justice européenne. Ainsi, pour qu’une structure prétende au précieux sésame, elle ne doit s’adresser qu’à des prestataires européens. Ceci, pour éviter que les lois d’autres pays entrent en jeu.
Sans les nommer directement, les États-Unis sont le premier exemple. La Section 702 de la loi FISA et d’autres textes permettent au renseignement de piocher dans les données détenues par les entreprises de nationalité américaine. Et ce, quel que soit l’emplacement de leurs serveurs. Un effacement des frontières géographiques contre lequel s’était notamment battu Microsoft. Sans succès.
À l’échelle européenne, l’essence de SecNumCloud 3.2 s’est retrouvée dans le niveau High+. Ce dernier a provoqué cependant de nombreux soubresauts géopolitiques. Et pour cause : des critères techniques et juridiques d’immunité des services cloud aux législations non européennes et à portée extraterritoriale ont été pris comme une mesure ciblée par les États-Unis.
Réaction virulente aux États-Unis
L’objectif européen était d’assurer que la sécurité la plus élevée s’accompagnait d’une garantie contre ces lois extraterritoriales. L’année dernière cependant, la Computer & Communications Industry Association (CCIA) et la Business Software Alliance (BSA), deux lobbys américains, s’en sont pris au niveau High+.
« EUCS fait partie d'un effort concerté plus large de l'Europe pour mettre en œuvre un programme de « souveraineté numérique » qui cherche à désavantager les entreprises américaines au profit d'alternatives locales, menaçant potentiellement les intérêts économiques et de sécurité nationale des États-Unis », pouvait-on ainsi lire dans un courrier envoyé à plusieurs membres du gouvernement de Joe Biden en mai de l’année dernière.
Quelques mois plus tard, Antony Blinken, le secrétaire d’État (en charge des Affaires étrangères) envoie lui-même un courrier à la présidente de la Commission européenne, Ursula von der Leyen. Celle-ci était prévenue : intégrer le niveau High+ allait conduire à une détérioration des relations entre les États-Unis et l'Union européenne, aussi bien sur l’économie que la sécurité.
On connait la suite : début 2024, l’ENISA (Agence de l’Union européenne pour la cybersécurité) publie une nouvelle version d’EUCS. Le niveau High+ disparait et le concert des critiques commence. Il y a deux mois, c’était notamment au tour de la CNIL, qui évoquait tout particulièrement le cas des données sensibles.
La CSNP rejoint la CNIL
La Commission Supérieure du Numérique et des Postes n’en pense pas moins. Dans un avis publié le 4 septembre, elle rejoint pleinement la CNIL dans ses conclusions.
On retrouve bien la disparition de la protection la plus élevée pour les données sensibles. Autre danger, l’absence de stimulation de l’offre européenne qui, dans le cadre d’EUCS, aurait pu s’épanouir d’autant plus rapidement que la demande aurait grimpé en flèche. Impossible également pour les acteurs publics ou privés d’héberger dans le cloud leurs données les plus sensibles. Quand on sait que 70 % du marché du cloud en Europe appartient à trois acteurs américains (Amazon, Microsoft et Google), on comprend la marge de progression.
La CSNP évoque un autre « risque majeur » : « la différence d'interprétation des principes de proportionnalité et de nécessité entre l'Union européenne et les États-Unis ». Cette question est bien centrale dans le Data Privacy Framework, mais seulement pour les données personnelles. En outre, en Europe, « les droits individuels priment ». Aux États-Unis, « la sécurité nationale occupe une place prépondérante ».
Danger aussi pour la loi SREN
EUCS, avec ou sans niveau High+, remplacera tôt ou tard SecNumCloud. Si le niveau est finalement réintégré, tout devrait continuer en France selon la trajectoire prévue. Avec comme bénéfice que les services certifiés SecNumCloud devraient obtenir très rapidement leur label High+. Si sa disparition est actée en revanche, il y aura de nombreuses conséquences.
Le label SecNumCloud pourrait disparaître. Son imperméabilité aux lois extraterritoriales pourrait être attaquée, car jugée trop restrictive et discriminante, face à un cadre juridique commun. SecNumCloud pourrait ainsi pécher par zèle. Interrogé sur ce point, l'ANSSI, nous a simplement indiqué « n'avoir aucun élément à partager ».
Comme l’indique en outre la CSNP, « l’État français se trouverait démuni » dans la mise en œuvre de sa stratégie « cloud au centre ». Tout comme la loi SREN d’ailleurs, qui vise à réguler l’espace numérique, en exigeant notamment un niveau de sécurité très élevé pour certaines données. Ce serait le cas par exemple des données de santé, ce qui faisait dire au député Philippe Latombe que le sort du Health Data Hub (qui stocke les données dans Azure de Microsoft) était très incertain.
Notez qu’en cas de réintégration de High+ dans EUCS, plusieurs pays d’Europe feront grise mine, dont l’Allemagne. Pour la Commission, les opposants au niveau High+ peuvent être regroupés en deux catégories. D’un côté, une sensibilité aux menaces américaines et la perte de sécurité qui pourrait en découler. De l’autre, une activité économique très dépendante du marché américain. C’est le cas de l’Allemagne.
La CSNP demande au gouvernement d’agir
Sans surprise, la CSNP met en avant SecNumCloud et souhaite la réintégration du niveau High+ dans le projet EUCS. Pour la Commission, il s’agit d’un « enjeu essentiel d'autonomie technologique pour l'Union européenne, la condition de l’émergence d’une industrie européenne des services cloud, et une impérieuse nécessité pour protéger les données sensibles et stratégiques, à caractère personnel ou non, des organismes publics et privés qui ont besoin de préserver leur patrimoine informationnel contre les ingérences étrangères ».
Elle recommande plusieurs actions au gouvernement, notamment de communiquer ouvertement sur l’état des négociations et de préciser sa position. La CSNP l’invite à se rapprocher des pays membres de l’Union contre le niveau High+ pour qu’ils s’expliquent sur leurs raisons. Elle souhaite également que le gouvernement fasse « le nécessaire auprès de la Commission européenne pour qu’elle sursoie à toute décision d’adoption de la version actuelle du schéma de certification », le temps qu’une analyse approfondie soit menée, en particulier sur les conséquences géopolitiques d’un abandon du niveau High+.
Le Cigref emboite le pas
Sans trop de surprise non plus, le Cigref – qui regroupe les DSI de nombreuses entreprises et administrations – est d’accord avec la Commission supérieure, dont elle loue « la position claire et argumentée ».
Le Cigref rappelle une nouvelle fois « le besoin de disposer d'un schéma de certification, à valeur légale, et mis en œuvre de manière homogène au sein de l'Union européenne ». L’association avait déjà fait valoir son point de vue en avril dernier, au sein d’un courrier adressé à Ursula von der Leyen. Nous nous en étions faits l’écho, tout comme de la critique de Guillaume Poupard, ancien directeur de l’ANSSI et aujourd’hui directeur général adjoint de Docaposte.
![[Édito] Apple entre greenwashing et renouvellement à marche forcée](https://next.ink/wp-content/uploads/2024/09/Apple_greenwashing-510x247.webp "[Édito] Apple entre greenwashing et renouvellement à marche forcée")
Commentaires (11)
#1
#1.1
On commerce avec ces 2 pays et l'Allemagne (en particulier) à beaucoup à perdre à se les mettre à dos. C'est souvent l'Allemagne qui pèse pour affaiblir l'UE à son profit commercial.
Et l'UE sans l'Allemagne, ce n'est plus grand chose.
Je ne dis pas que j'approuve, bien au contraire, mais c'est la réalité politique du moment. L'UE est une construction bancale, une union qui s'est renforcée en terme de pouvoir sur les états mais pas une fédération. À la limite, il faudrait aller jusqu'à un état fédéral pour avoir une politique plus unifiée.
#1.2
La dépendance commerciale à la Chine est encore plus grave : quels sont nos moyens de pression le jour où Mao II décide de se faire Taiwan ? Sauf à imaginer qu'on empêchera la PLAN d'accéder à l'île avec le Charles de Gaulle, il nous faut les reins solides pour pouvoir mettre en place des sanctions commerciales contre la Chine (qui cherchera de toute façon à nous couper les pattes en coupant ses exportations de matériaux et composants critiques, tout comme la Russie l'avait fait en préparant le terrain pour organiser la pénurie et le besoin de gaz avant de commencer son invasion de l'Ukraine)
Tout voir par le prisme d'un peu de pouvoir d'achat ou de PIB (je considère que, même 10% ou 20% de PIB sacrifiés est mieux que de devoir rentrer en économie de guerre, voire en guerre tout court) est le meilleur moyen de se mettre dans une spirale extrêmement dangereuse en s'empêchant un sacrifice désagréable mais nécessaire pour éviter un sacrifice encore plus grand par la suite.
#1.4
Pour la Russie petite précision (et j'ai l'impression de me répéter), les sanctions ne changent rien (de toute manière il s'y étaient préparés depuis les sanctions de 2014) et surtout ça se retourne contre nous. La Russie n'a rien coupé c'est nous qui avons décidé de ses sanctions donc pas besoin de rejeter la faute sur d'autres. D'ailleurs, nous continuons encore à leur acheter du gaz. Pour le reste, je suis désolé mais on a des bras cassé à tous les niveau il suffit de voir notre déficit à 5.1 et montrent l’inconséquence des prévisions du gouvernement démissionnaire. Mais plutôt que de le reconnaître, la plupart préfèrent s’enfermer dans le déni ou de rejeter la faute sur les autres. Donc avant de parler de sacrifice ou de rentrer en guerre comme tu dis ce qui nous couterais très très cher et où l'on aurait franchement au contraire tout à perdre, il serais plus intéressant de s'occuper de notre économie et de faire du social un axe majeur de développement.
#1.3
Cela va faire 20 ans que je répète au point d'avoir l'impression d'avoir rayé un disque qu'être allié des États-Unis est encore pire que leur être neutre ou même hostile : ils exploitent massivement les accès que leur donnent leurs alliés, sans réciprocité.
Nous n'avons rien à gagner à continuer à être dépendants.
Ce qui est ironique, c'est que l'Europe ne sait pas être autre chose qu'économique… et elle se révèle pourtant incompétente à être une force autonome.
Concernant l'aspect militaire, nos crétins en chef on préférés revenir progressivement dans l'OTAN plutôt qu'au moins une alternative.
Les jeunes générations sont incapables de se désemberlificoter des services des grosses entreprises États-uniennes sont elles ne savent même plus qu'il faudrait se méfier.
À commencer par l'école et l'université, biberonnant les élèves & étudiants à leurs services par criminels manque de temps, incompétence et manque d'intérêt.
Les États-Unis ne comprennent que le rapport de forces : tout le reste n'est que de l'endormissement.
Quant à la Chine, je ne sais tellement pas par où commencer, que lorsque quelqu'un se posera (sans conditionnel) sérieusement la question de "partenariats" avec eux, je m'inquièterai de leur détermination à ignorer l'évidence pendant les 60-70 dernières années.
Historique des modifications :
Posté le 09/09/2024 à 19h04
Tout à fait.
Cela va faire 20 ans que je répète au point d'avoir l'impression d'avoir rayé un disque qu'être allié des États-Unis est encore pire que leur être neutre ou même hostile : ils exploitent massivement les accès que leur donnent leurs alliés, sans réciprocité.
Nous n'avons rien à gagner à continuer à être dépendants.
Ce qui est ironique, c'est que l'Europe ne sait pas être autre chose qu'économique… et elle se révèle pourtant incompétente à être une force autonome.
Concernant l'aspect militaire, nos crétins en chef on préférés revenir progressivement dans l'OTAN plutôt qu'au moins une alternative.
Les jeunes générations sont incapables de se désemberlificoter des services des grosses entreprises États-uniennes sont elles ne savent même plus qu'il faudrait se méfier.
À commencer par l'école et l'université, biberonnant les élèves & étudiants à leurs services par criminels manque de temps, incompétence et manque d'intérêt.
Les États-Unis ne comprennent que le rapport de forces : tout le reste n'est que de l'endormissement.
Quant à la Chine, je ne sais tellement pas par où commencer, que si quelqu'un se pose sérieusement la question de "partenariats" avec eux, je m'inquièterai de leur détermination à ne pas avoir ouvert les yeux depuis les 60-70 dernières années.
Posté le 09/09/2024 à 19h05
Tout à fait.
Cela va faire 20 ans que je répète au point d'avoir l'impression d'avoir rayé un disque qu'être allié des États-Unis est encore pire que leur être neutre ou même hostile : ils exploitent massivement les accès que leur donnent leurs alliés, sans réciprocité.
Nous n'avons rien à gagner à continuer à être dépendants.
Ce qui est ironique, c'est que l'Europe ne sait pas être autre chose qu'économique… et elle se révèle pourtant incompétente à être une force autonome.
Concernant l'aspect militaire, nos crétins en chef on préférés revenir progressivement dans l'OTAN plutôt qu'au moins une alternative.
Les jeunes générations sont incapables de se désemberlificoter des services des grosses entreprises États-uniennes sont elles ne savent même plus qu'il faudrait se méfier.
À commencer par l'école et l'université, biberonnant les élèves & étudiants à leurs services par criminels manque de temps, incompétence et manque d'intérêt.
Les États-Unis ne comprennent que le rapport de forces : tout le reste n'est que de l'endormissement.
Quant à la Chine, je ne sais tellement pas par où commencer, que lorsque quelqu'un se posera (sans conditionnel) sérieusement la question de "partenariats" avec eux, je m'inquièterai de leur détermination à ignorer l'évidence depuis les 60-70 dernières années.
Posté le 09/09/2024 à 19h05
Tout à fait.
Cela va faire 20 ans que je répète au point d'avoir l'impression d'avoir rayé un disque qu'être allié des États-Unis est encore pire que leur être neutre ou même hostile : ils exploitent massivement les accès que leur donnent leurs alliés, sans réciprocité.
Nous n'avons rien à gagner à continuer à être dépendants.
Ce qui est ironique, c'est que l'Europe ne sait pas être autre chose qu'économique… et elle se révèle pourtant incompétente à être une force autonome.
Concernant l'aspect militaire, nos crétins en chef on préférés revenir progressivement dans l'OTAN plutôt qu'au moins une alternative.
Les jeunes générations sont incapables de se désemberlificoter des services des grosses entreprises États-uniennes sont elles ne savent même plus qu'il faudrait se méfier.
À commencer par l'école et l'université, biberonnant les élèves & étudiants à leurs services par criminels manque de temps, incompétence et manque d'intérêt.
Les États-Unis ne comprennent que le rapport de forces : tout le reste n'est que de l'endormissement.
Quant à la Chine, je ne sais tellement pas par où commencer, que lorsque quelqu'un se posera (sans conditionnel) sérieusement la question de "partenariats" avec eux, je m'inquièterai de leur détermination à ignorer l'évidence depuis les 60-70 dernières années.
#1.5
#1.6
Arrêtez de rêver, la Chine, la Russie, l'Iran et la Corée du N n'ont absolument pas pour but de renverser simplement la position de leader des USA (ce qui, vous pensez, nous arrangerait aussi, nous, Européens), mais de faire tomber toutes les démocraties vers des dictatures avec lesquelles il leur sera bien plus simple de faire affaire sans état d'âme. Il suffit de voir ce que deviennent des pays comme le Mali ou le Burkina une fois "délivrés" des méchants Français par les gentils PMC russes.
Dans un monde où tous les pays sont des dictatures, les régimes mafieux par nature seront rois.
#2
Alors, les intérêts économiques, je veux bien. Les intérêts de sécurité nationale, j'avoue que je ne comprends pas.
A moins que ce soit un problème de sécurité car ils ne pourront plus regarder nos données / métadonnées, auquel cas, c'est une justification plus que nécessaire pour un niveau High+.
#3
S'ils peuvent entendre que bloquer le fabricant d'une autre puissance économique a du sens pour cause de sécurité, qu'est-ce qui les empêche de comprendre que les européens veulent s'en protéger aussi. On entends pas que les EU enfreignent les accords de l'OMS quand ils bannissent des entités d'échanger en dollars dans le monde entier.
C'est toujours 2 poids 2 mesures : on veut pas subir ce qu'on vous fait subir, nah !
De plus, le niveau High+ ne sera pas celui qui sera choisis pour la majorité des prestations mais plutôt une minorité (vu le tarif que cela va coûter). C'est vraiment puéril de la part des acteurs américains.
#4
Ils veulent quoi ? c'est quoi l'intérêt de prendre des postures lors de la rédaction alors qu'ils ne feront rien pour que le règlement soit respecté ensuite???
#4.1
La CNIL veut que le RGPD soit appliqué (par ceux qui traitent des données personnelles) mais travaille plus sur la communication préventive en donnant des lignes directrices ou en accompagnant certains intervenants ou même punitive : elle communique aussi quand elle punit (fortement) un gros intervenant.
Par contre, elle ne pense pas utile de traiter correctement toutes les plaintes surtout quand il s'agit de relativement petits intervenants. C'est entre autre ce qui lui est reproché dans l'autre article. C'est peut-être dû aussi à la difficulté de traiter beaucoup de plaintes avec un assez petit budget même si d'autres pays on montré que c'est possible.
Sur le fond, elle viole le RGPD en ne traitant pas correctement toutes les plaintes, mais les procureurs font la même chose en France (pas le viol de la loi, mais le tri dans les plaintes) quand ils classent sans suite une plainte en jugeant l'opportunité de la poursuite.