Divergences autour des exigences de souveraineté dans le schéma européen de certification du cloud
Quels critères intégrer dans le futur schéma de certification européen pour les services de cloud computing ? Voici la question à laquelle est actuellement confrontée l'ENISA, agence chargée de l'élaboration des labels. Le projet inclurait des exigences fortes en matière de souveraineté numérique pour s'assurer que les fournisseurs sont imperméables aux lois étrangères. Des contraintes critiquées par certains Etats membres et représentants de l'industrie.
Les critères du futur schéma de certification européen pour les services de cloud computing (EUCS pour European Cybersecurity Certification Scheme for Cloud Services) provoquent des tensions, en particulier autour de la notion de souveraineté.
Harmoniser les pratiques
Adopté le 12 mars 2019, le Cyber Security Act (CSA) a créé un cadre de certification de cybersécurité pour harmoniser à l'échelle européenne les méthodes d'évaluation et les différents niveaux d'assurance de la certification. Il s'agit de garantir la robustesse d'un produit selon un référentiel adopté préalablement par l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA).
Le règlement définit trois niveaux : le niveau élémentaire pour les produits non critiques destinés au grand public, le niveau substantiel qui cible le risque médian et le niveau élevé pour les solutions pour lesquelles il existe un risque d'attaques impliquant des compétences ou des ressources "significatives".
Le projet de schéma de certification – qui a été consulté par le média Euractiv – inclut des exigences de souveraineté sur la localisation des données et l'imperméabilité aux lois étrangères. C'est la Commission européenne qui aurait demandé à l'ENISA d'intégrer de telles exigences. "L'objectif de ces exigences spécifiques est de prévenir et de limiter de manière adéquate les éventuelles interférences d'Etats extérieurs à l'Union européenne avec le fonctionnement des services de cloud certifiés", est-il écrit dans le document.
Une définition très stricte de la notion de "contrôle"
L'immunité contre les lois étrangères signifierait que seuls les fournisseurs de services de cloud situés en Europe et non contrôlés par des entités extérieures peuvent prétendre à un schéma de certification. La notion de "contrôle" est définie de façon très étroite, d'après le document. Les entreprises doivent être "totalement indépendantes des lois non européennes".
De plus, les échanges entre les fournisseurs européens et ceux basés en dehors de l'UE devront répondre à des exigences spécifiques en termes d'autorisation de sécurité et de supervision. Même les entreprises dont le siège social se situe au sein de l'UE mais dont les investisseurs sont étrangers pourraient avoir un accès limité.
Des divergences entre Etats membres
Ce futur système ne plaît pas à tout monde. En premier lieu entre les Etats membres. Tandis que la France, l'Allemagne, l'Italie et l'Espagne soutiennent pleinement ces exigences, les Pays-Bas, la Suède et l’Irlande (Etat qui abrite la plupart des sièges européens des grandes entreprises technologiques américaines) sont beaucoup plus inquiets. En effet, ils craignent qu'elles excluent de nombreuses entreprises du schéma de certification.
Le processus d'élaboration a également été critiqué par les industriels. L'American Chamber of Commerce to the European Union (AmCham EU), la Computer & Communications Industry Association (CCIA Europe), et l'Information Technology Industry Council (ITI) ont rédigé une lettre ouverte dans laquelle critiquent le manque de transparence et d'engagement "des parties prenantes" dans les discussions. "Le recours à des normes internationales consensuelles est essentiel pour garantir l'efficacité des exigences en matière de cybersécurité", écrivent-ils. Ils ajoutent que les exigences relatives à la souveraineté numérique sont "purement motivées par des considérations politiques" qui créeront "une conformité juridique complexe" et ne "contribueront pas à accroître les niveaux de cybersécurité".
L'éternel débat de la souveraineté numérique
Ce débat n'est absolument pas nouveau. Il se pose dans des termes similaires au niveau français avec la stratégie "Cloud au centre" présentée par le ministre de l'Economie, Bruno Le Maire, en mai 2021. Notons d'ailleurs que la certification européenne a vocation à faire disparaître le label français. Ce qui signifie que seuls les fournisseurs certifiés pourront proposer leurs services d'hébergement dans certains secteurs critiques. Problème : aujourd'hui, Amazon (Amazon Web Service), Microsoft (Azure) et Google (Google Cloud Platform) captent 69% du marché européen à eux seuls. Deutsche Telecom fait la course loin derrière avec 2% des parts de marché, suivi par des entreprises comme OVHcloud et Orange.
La France a emprunté une troisième voie qui laisse la porte grande ouverte aux entreprises américaines. Celles-ci peuvent proposer leurs services dans le cadre de licences accordées à des entreprises françaises. C'est ainsi que Google Cloud a signé un accord avec OVHcloud (dont on attend toujours des nouvelles), puis avec Thales en octobre 2021. Microsoft s'est quant à lui rapproché d'Orange et de Capgemini via une entité dédiée, baptisée "Bleu", dont la date de lancement n'est toujours pas connue à ce jour.
Le projet européen est "en cours d’examen par l’AHWG (Ad-Hoc Working Group), et devrait être soumis à l’ECCG (Groupe européen de certification de cybersécurité) pour obtenir son avis", a informé un porte-parole de l’ENISA à Euractiv. La Commission européenne devra également l'approuver. La prochaine réunion de l'ECCG est fixée au 28 juin.
SUR LE MÊME SUJET
Divergences autour des exigences de souveraineté dans le schéma européen de certification du cloud
Tous les champs sont obligatoires
0Commentaire
Réagir