3DS Outscale et OVHcloud plaident pour un schéma européen de cloud respectueux de la souveraineté

3DS Outscale, la filiale de Dassault Systèmes, et OVHcloud ont co-signé une lettre adressée à la Commission européenne et à l'Agence de l'Union européenne pour la cybersécurité (ENISA) à propos du futur schéma européen de certification cloud (European Cybersecurity Certification Scheme for Cloud Services, EUCS). Ils souhaitent que seuls les services de cloud computing immunisés contre les lois extraterritoriales puissent recevoir la certification de niveau élevé.

La lettre a été signée par une trentaine d'entreprises et d'organisations, dont Docaposte (la filiale numérique de La Poste), la start-up Data Legal Drive, le think tank Digital New Deal, Clever Cloud, Oodrive...

Harmoniser les labels au niveau européen

C'est le Cyber Security Act, adopté en juin 2019, qui a instauré un cadre de certification pour harmoniser les méthodes d'évaluation et les différents niveaux de certification à l'échelle européenne. Il s'agit de garantir la robustesse d'un produit selon un référentiel adopté préalablement par l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) et validé par la Commission européenne. Ce dernier est en cours d'élaboration. Il devrait, d'après les derniers travaux, définir trois niveaux : le niveau élémentaire pour les produits non critiques destinés au grand public, le niveau substantiel qui cible le risque médian et le niveau élevé pour les solutions pour lesquelles il existe un risque d'attaques impliquant des compétences ou des ressources "significatives".

Le projet actuel prévoit d'intégrer "des critères garantissant l'immunité contre les lois extraterritoriales" dans le niveau élevé. Autrement dit, cela signifie que les entreprises souhaitant obtenir ce label devront prouver que techniquement et juridiquement aucune donnée ne part vers un pays étranger et n'est accessible par les autorités de ce même pays. Bien que tous les pays soient concernés, les regards se tournent évidemment vers les Etats-Unis pour deux raisons au moins. Les trois grands fournisseurs de cloud computing – Amazon, Microsoft et Google – y ont leur siège et l'existence du CLOUD Act qui permet aux autorités américaines de mettre la main sur n'importe quelle donnée à partir du moment où elle est hébergée par une société américaine.

C'est d'ailleurs cette crainte d'accès tout azimut aux données des Européens qui a justifié l'invalidation du Privacy Shield – accord qui encadrait les flux de données outre-Atlantique – par la Cour de justice de l'Union européenne en juillet 2020.

Les entreprises américaines font pression

Face aux futures exigences du niveau élève, "des acteurs étrangers sont à la manœuvre", confie David Chassan, directeur de la stratégie de 3DS Outscale, à L'Usine Digitale. En effet, si le projet de l'ENISA reste inchangé, les entreprises américaines ne pourront pas accéder au niveau élevé et donc prétendre à des marchés nécessitant un haut niveau de sécurisation des données. En revanche, elles pourront obtenir les certifications de niveau 1 et 2 (à condition de remplir tous les critères).

Politico révélait en juin que l'American Chamber of Commerce to the European Union (AmCham EU), la Computer & Communications Industry Association (CCIA Europe), et l'Information Technology Industry Council (ITI) – quatre groupes de lobbying qui comptent Amazon, Microsoft et Google parmi leurs membres – se battaient pour le retrait des critères d'immunité jugeant qu'ils sont "politiquement motivés (...) n'augmenteront pas les niveaux de cybersécurité".

Par conséquent, "nous devons veiller à ce que le projet ne soit pas dénaturé et être vigilant à garder le cap", estime David Chassan. En effet, la protection aux lois étrangères permet de "répondre aux attentes des utilisateurs européens du cloud en matière de confiance et de sécurité dans le cloud". Ils doivent pouvoir avoir le choix "du niveau de garantie" dont ils ont besoin pour leurs activités, écrivent les signataires.

Eloigner les big tech pour gagner des parts de marché

Autre argument majeur : "permettre aux fournisseurs de cloud de relever les défis d'un marché du cloud en hypercroissance". En éloignant les entreprises américaines, les entreprises européennes pourront en profiter pour récupérer des parts de marché. Actuellement, Amazon (Amazon Web Service), Microsoft (Azure) et Google (Google Cloud Platform) captent 69% du marché européen à eux seuls. Deutsche Telecom fait la course loin derrière avec 2% des parts de marché, suivi par des entreprises comme OVHcloud et Orange.

En septembre prochain, l'ENISA doit tenir une réunion qui "fixera un cap", indique David Chassan. Il reste donc à voir si elle cédera ou non aux pressions du lobbying américain. Une troisième voix pourrait être éventuellement choisie, celle des licences, comme c'est le cas en France avec la doctrine "Cloud au centre". Des entreprises américaines peuvent commercialiser leurs offres via des entreprises françaises. Ces offres peuvent prétendre au label "SecNumCloud". Pour l'instant, aucune d'entre elles ne l'ont encore obtenu auprès de l'Agence nationale de la sécurité des systèmes d'information (Anssi).

Thales et Google avec "S3NS" tablent sur le deuxième semestre 2024 et Orange, Microsoft et Capgemini en 2024 pour "Bleu". Une promesse bien prétentieuse, d'après les acteurs français du cloud. Accepter qu'une offre hybride obtienne le niveau élevé de l'EUCS "semble compliqué", d'après le directeur stratégique.

Les critères retenus pour l'EUCS revêtent une grande importance car le schéma a vocation à remplacer SecNumCloud d'ici quelques temps. Il est donc nécessaire d'avoir une certaine cohérence entre les deux. A défaut, le risque est de morceler le marché, ce qui va à l'encontre de l'objectif initial du Cyber Security Act.

Sélectionné pour vous

Amazon va mener une deuxième vague de licenciements : 9000 postes supprimés

OVHcloud achète son premier ordinateur quantique à Quandela

General Motors planche sur un assistant vocal dopé à ChatGPT