Le projet de certification EUCS patine depuis 5 ans. Pourtant, le besoin d’unification et de fortification des normes européennes de sécurité numérique face aux diverses menaces de cybersécurité devient intolérable.
Déjà grevé de l’intérieur, le projet de certification EUCS doit également se confronter à la riposte des GAFAM et du pays de l’Oncle Sam.
L’heure tourne, tandis que le parlement européen a lancé les débats. Alors que 70% des européens utilisent les clouds américains abordables, complets – et peu confidentiels -, le projet EUCS ne tiendra pas l’échéance initiale de fin 2024.
L’ambitieux projet EUCS
Le projet de système EUCS (European Union Cybersecurity Scheme for Cloud Services) vise un cloud sécurisé européen dans un environnement numérique qui évolue constamment, se diversifie et se complexifie rapidement. Avec deux autres certifications européennes, il constitue le bouclier de cybersécurité du vieux continent.
Malheureusement, le continent européen s’est montré mauvais élève, en se laissant distancer par les GAFAM dont il dépend lourdement à ce jour. Au fil du temps, les prestataires continentaux ont été confronté à des pratiques de position dominante, notamment :
- La substitution des licences définitives par des licences renouvelables
- La hausse insolente des coûts
- L’absence d’alternatives locales fiables et viables
Pour endiguer ce phénomène, le projet de certification EUCS tend à uniformiser les bonnes pratiques continentales, qui seront validées sous forme de certificats de sécurité. Dans ce sens, il nourrit plusieurs objectifs :
- Faire migrer et héberger les données sensibles et souveraines vers un prestataire européen
- Élever les normes de sécurité des TIC (produits, services et processus) et des solutions cloud en Europe
- Le remplacement des réglementations nationales par une certification européenne unique et homogène
Face aux dérives, le projet de système EUCS prône l’implication de tous les acteurs technologiques européens, à travers un système horizontal qui favorise la confiance. En particulier, la France a inspiré la majorité des innovations présentées, littéralement calquées sur ses systèmes de certification existants :
Niveau de sécurité EUCS | Source d’inspiration européenne |
Basic | Norme ISO 27001 (France) |
Substantial | Certification C5 (Allemagne) |
High | Certification SecNumCloud “classique” (France) |
High+ | Certification SecNumCloud version 3.2 (France) |
Le certificat de sécurité EUCS High+ mentionne l’imperméabilité aux lois extraterritoriales et la souveraineté locale. Et c’en était assez pour constituer une pomme de discorde.
Les freins internes à la marche de l’UE vers la souveraineté numérique
Chacun tire le drap vers soi
La France, l’Espagne et l’Italie souhaitent des critères exigeants et une sécurisation élevée avec l’interdiction totale de l’extraterritorialité. Le texte initial du projet EUCS incluait uniquement l’admission des entreprises européennes ou co-entreprises créées via des structures européennes, telles que S3NS et Bleu. Le crédo de ce clan s’appuie sur l’exemplarité et rejette les récentes versions, plus conciliantes :
[Le] véritable enjeu [consiste à] admettre et assumer que certaines données et certains processus sont très sensibles, que leur traitement doit être réalisé dans des conditions de sécurité technique, opérationnelle et juridique particulièrement strictes et qu’une des conséquences est alors de s’assurer que seul le droit européen s’applique, à l’exclusion de tout autre.
Guillaume Poupard, ancien directeur de l’ANSSI et actuel DGA de Docaposte
En face, douze pays, l’Allemagne en tête, optent pour un assouplissement des règles. Ce groupe évoque le Data Privacy Framework comme antécédent de collaboration extraterritoriale entre l’Europe et les États-Unis. Par exemple, la Grèce, l’Irlande, le Danemark ou la Suède sont partisans du libre échange. Pour ce clan, le libéralisme doit régner, laissant la disponibilité aux dirigeants de se préoccuper de problèmes plus graves :
Force est de reconnaître qu’une majorité d’États Membres de l’Union européenne a clairement d’autres priorités que de développer l’Europe du numérique. Certains ne veulent surtout pas prendre le risque de réduire leurs rentrées fiscales, d’autres sont prêts à tout pour continuer à vendre des voitures de luxe ou importer du GNL, beaucoup ont pour priorité – légitime – leur protection militaire par l’OTAN dans un contexte géopolitique particulièrement tendu. Sans juger, force est de reconnaître que la sécurité du cloud et de nos données pèse malheureusement bien peu.
Guillaume Poupard
Le récent lancement de European Sovereign Cloud, une offre localisée en Europe par Amazon, remet les dissensions à la lumière du jour.
Le besoin de confidentialité
La sécurité implique la confidentialité. Une valeur que la récente version allégée du projet EUCS semble avoir renvoyée aux calendes grecques.
Certaines puissances étrangères disposent aujourd’hui d’une capacité inégalée dans l’histoire du renseignement pour mener sans entrave particulière leurs activités d’intelligence économique dans l’espace numérique européen. La mise en place d’un tel niveau de certification au sein de l’EUCS serait une réponse directe à la menace que représentent ces pratiques de surveillance et constituerait un signal fort quant à l’ambition de notre continent de protéger son patrimoine informationnel stratégique, bien au-delà des seules données personnelles.
Jean-Claude Laroche, président du Cigref
Un laxisme estimé aussi dangereux qu’inacceptable :
Nous sommes particulièrement inquiets de constater que la dernière version du projet EUCS semble s’éloigner de son objectif essentiel qui est de garantir un haut niveau de sécurité et d’immunité contre les législations extraterritoriales non européennes. Les pressions exercées par l’industrie technologique américaine et certaines interventions diplomatiques suggèrent que l’EUCS pourrait être déclassé, privant ainsi les entreprises et les administrations publiques européennes d’un outil essentiel pour protéger leurs données contre les acteurs extraterritoriaux.
Jean-Claude Laroche
En l’absence de confidentialité certifiée, les institutions politiques ont saisi au vol l’occasion de prendre position, notamment la CNIL en France :
Dans son état actuel, le système européen de certification des services cloud ne permet plus aux fournisseurs de démontrer qu’ils protègent les données stockées contre l’accès d’une puissance étrangère (…) La CNIL demande que le niveau de protection des données personnelles dans cette certification soit renforcé en réintroduisant de telles garanties.
En outre, l’institution recommande le recours à un prestataire exclusivement soumis au droit européen pour la protection adéquate des données les plus sensibles, concernant surtout :
- La santé
- Les infractions
- Les mineurs
- Les systèmes critiques
Des délais stricts… ou pas assez
Sans consensus, le vote des députés a été fréquemment reporté. Alors qu’octobre 2024 pointait son nez, personne ne semblait se déranger plus de combler la faille technologique et juridique européenne. Chaque clan géopolitique prêche avec détermination pour sa chapelle.
L’équité commerciale en discussion
L’examen des textes de l’Accord sur les marchés publics (AMP) et de l’Accord général sur le commerce des services (AGCS) pose problème. Le premier traite spécialement les acquisitions gouvernementales, tandis que le second est plus général.
Les nouvelles exigences sont susceptibles de contrevenir aux exigences de traitement équitable et non discriminatoire entre les participants aux appels d’offres.
Un frein potentiel au développement numérique européen
Un doute raisonnable persiste, qui se décline comme suit :
- En cas d’adoption du projet de certification EUCS, les fournisseurs de services extraterritoriaux ne pourront pas accéder aux certifications les plus puissantes high et high+
- De volontaire, la certification peut rapidement glisser par roulements pour devenir obligatoire pour collaborer avec les entités européennes critiques
- Une fois ces fournisseurs exclus, les infrastructures critiques européennes devront se tourner vers des prestataires certes locaux, mais moins performants, moins résilients, moins compétitifs et plus onéreux
Si ce schéma se réalisait, l’Europe numérique pourrait tout aussi bien retourner à l’âge de pierre.
Les GAFAM protestent
Les principaux fournisseurs de services cloud (Amazon, Microsoft et Google) s’opposent fermement au projet de certification EUCS.
Ils sont rejoints par le centre européen pour l’économie politique internationale qui a appelé depuis 2023, la Commission Européenne et l’agence de l’Union Européenne pour la cybersécurité (ENISA) à abandonner le projet.
Entretemps, l’arrêt Schrems II (Novembre 2021) qui requiert des garanties concernant le transfert des données personnelles de l’Europe vers les États-Unis est mis à mal. En effet, la Commission Européenne pour les États-Unis a pris en juillet 2023 une décision Data Privacy Framework avantageant les États-Unis.
Diviser pour mieux régner ?
Apparemment, les GAFAM n’en ont pas même eu besoin face aux européens préoccupés chacun de leurs intérêts.
Habillé de gants de velours, le chantage est également au menu.
La riposte des États-Unis
Pendant que les politiques et les parlementaires s’occupaient de couper les cheveux en quatre, le gouvernement américain a choisi d’assurer ses arrières.
Début avril 2024, la Chambre des représentants a voté pour la prorogation pendant deux ans de la section 702 de la loi sur la surveillance du renseignement étranger. En pratique, cette loi d’espionnage dite FISA autorise le gouvernement américain à surveiller les ressortissants étrangers résidant hors des États-Unis sans mandat.
Une manne pour le protectionnisme américain, qui a encore de beaux jours devant lui. Et l’un des scénarios d’ingérence étrangère pour lesquels le projet de certification EUCS a été initié.
Alors que l’Allemagne, la Pologne et les Pays-Bas semblaient craindre les représailles américaines, le robinet numérique international a, semble-t-il, d’ores et déjà changé de mains :
Qu’est-ce qui se passe l’année prochaine si on a un Trump qui arrive à la tête de l’administration américaine et qui décide de mettre en tension les Européens en utilisant le robinet de l’énergie numérique ? Si Trump décide de cibler une entreprise, comme cela a été le cas par le passé avec d’autres types de mise en tension, comme Alstom, BNP Paribas ou d’autres. Si vous ne vendez pas telle filiale, si vous ne nous livrez pas telles données, on vous ferme le robinet de l’énergie numérique (…) C’est une arme absolument redoutable.
Alain d’Agrain, secrétaire général du Cigref
Pour rappel, Donald Trump vient de remporter les présidentielles aux États-Unis.
Le projet EUCS : Faut-il reculer pour mieux sauter ?
Dans le fond, le projet de certification EUCS nourrit de nobles ambitions. Cependant, l’écosystème numérique européen semble manquer de préparation pour la réalisation de ses objectifs.
Notre crainte principale, ce sont les différentiels d’application de ces régulations. On l’avait vu avec le RGPD, avec l’Irlande qui était devenue un pavillon de complaisance de la mise en œuvre du RGPD. Et cela a eu des effets assez délétères en Europe. Lutter contre les pavillons de complaisance de la régulation, cela va être un enjeu absolument essentiel de la prochaine mandature [européenne]
Alain d’Agrain
Malgré la pression financière et les risques sécuritaires, le manque d’engagement, de cohésion, de financement et les insuffisances légales appellent à une refonte locale avant la pleine adoption du projet. Et c’est également la recommandation finale d’Henri d’Agrain :
Il y a eu une efflorescence législative ces dernières années. Ce que nous recommandons, c’est de stabiliser la réglementation et de faire en sorte qu’on puisse l’absorber. On est encore très loin des trois quarts des réglementations qui sont à implémenter dans les entreprises. Je pense à la transposition de NIS 2 [continuité d’activité], à l’AI Act [régulation de l’IA], au Cyber Resilience Act. On ne sait pas aujourd’hui, par exemple, sur l’AI Act qui va réguler en France. Donc, cela arrive très vite et les dispositifs de régulation ne sont pas aujourd’hui en place.
Alain d’Agrain
EUCS : Le projet sans fin trouvera-t-il un dénouement ?
Aperçu : Telle l’épopée antique de David contre Goliath, les escouades européennes pour un cloud sécurisé encourent la peine capitale face à un Zeus Américain particulièrement gourmand.
Quel métier que celui de diplomate ! Il faut savoir défendre les valeurs de la patrie, se salir les mains si nécessaire avec élégance, et garder la tête haute en toutes circonstances…
… Mais par-dessus tout, réserver ses meilleurs atouts pour frapper au moment opportun. Les paris sont ouverts pour prédire l’issue du énième ballet numérique Europe – Amérique de cette décennie. Bernard Charlès, de Dassault Systèmes, a vite fait de mettre les pieds dans le plat :
Entre l’obstination nationaliste, le chantage extérieur et les défections internes, sommes-nous en train d’assister à l’avènement d’un futur Waterloo digital ?