Technologies

SecNumCloud : touché, mais pas encore coulé ?

Le 20 janvier, la Commission européenne a présenté une révision de son Cybersecurity Act, qui fait l’impasse sur tout critère juridique et, en particulier, sur l’immunité aux législations extraterritoriales. (Photo : Guillaume Perigois/Unsplash)

Malgré le lobbying de la France, l'immunité des cloud aux législations extraterritoriales ne figure toujours pas dans les priorités de Bruxelles. Paris vient de perdre une bataille sur ce sujet lors de la révision du Cybersecurity Act, qui fait l'impasse sur le sujet.

PublicitéSoupe à la grimace fin janvier dans le landerneau des cloud souverains français : lors d'un événement à Bercy, la DGE (Direction générale des entreprises) a confirmé avoir perdu à Bruxelles les arbitrages sur un SecNumCloud européen. Un échec - au moins momentané - que cette administration a depuis confirmé lors de réunions avec l'écosystème. Rappelons que, depuis plusieurs années, la France milite pour la traduction au sein de l'Union de sa certification des environnements cloud, qui combine critères techniques de cybersécurité et, depuis 2022, immunité au législations extraterritoriales. Cette traduction du label à l'échelle du continent aurait dû se matérialiser dans un niveau dit High+ d'un schéma de certification baptisé EUCS (European Union Cybersecurity Certification Scheme for Cloud Services).

Or, le 20 janvier, la Commission présentait une révision de sa directive sur la cybersécurité datant de 2019, le Cybersecurity Act 2 (ou CSA2). Objectif affiché : renforcer la résilience et la cybersécurité du continent, notamment via une certification sur les produits et services technologiques utilisés dans l'Union. Problème vu de Paris : ce texte ne renferme aucune garantie contre les lois extraterritoriales. Pire, le CSA2 fait totalement l'impasse sur un mécanisme de certification des cloud pour ne se focaliser que sur les risques cyber liés à la supply chain technologique, au travers d'une certification appelée ECCF (European cybersecurity certification framework). Autrement dit, il n'y est pas question de EUCS, et encore moins de niveau High+.

L'Allemagne et son cloud 'souverain' AWS

« Il était prévu que ce texte parle de cloud de confiance. Compte tenu du contexte, peut-être faut-il y voir un refus d'obstacle de l'Union faute d'une position commune », indique Alain Bouillé, le délégué général du Cesin (Club des experts de la sécurité de l'information et du numérique), qui veut y voir seulement une bataille perdue. « Ce texte ressemble à un anachronisme, à un point divergent qui ne remet pas en cause la ligne directrice générale. Sur ces sujets, on assiste en ce moment plutôt à un alignement politique, entre la France et de l'Allemagne en particulier », ajoute Arnaud Martin, le vice-président du Cesin. Si les deux pays partagent cette préoccupation, force est de constater que l'Allemagne, avec son cloud 'souverain' AWS, apporte pour l'instant une réponse toute différente de la France, qui en la matière mise sur des cloud dits de confiance contrôlés par des structures européennes tout en étant basés sur la technologie américaine.

Pour la douzaine de sociétés françaises déjà labellisées SecNumCloud ou en cours de labellisation, la déception est réelle. L'absence de traduction au niveau européen ne leur permettra pas de mutualiser les investissements associés à leur certification à l'échelle du continent. Pire : elle pourrait menacer la légalité du SecNumCloud en France. Un danger à priori écarté à ce stade. Le fait que le CSA2 fasse l'impasse sur les questions juridiques associées aux lois extraterritoriales laisse les Etats membres libres de s'organiser sur ce sujet. « Le risque n°1 aurait été de voir un texte instaurant un mécanisme de protection vis-à-vis des lois extraterritoriales différent du schéma SecNumCloud. Cette dernière aurait alors été rendue caduque, y compris en France », explique une source au fait des négociations et qui a requis l'anonymat. « Pour Bleu, le meilleur scénario serait bien sûr l'adoption d'un niveau EUCS High+ pour l'ensemble de l'UE. En l'absence d'un tel scénario, l'important pour nous est que l'on puisse continuer d'appliquer le référentiel SecNumCloud en France », commente Jean Coumaros, le Pdg de Bleu, le cloud de confiance basé sur les technologies Microsoft en cours de certification auprès de l'Anssi.

PublicitéUn paquet souveraineté en mars

Si la France n'a pas obtenu satisfaction, tout en évitant le pire, le débat sur ces sujets n'est pas clos à Bruxelles. Fin mars, la Commission devrait présenter un package de législations autour de la souveraineté technologique, couvrant les semi-conducteurs, l'Open Source, mais aussi l'IA et le cloud. Cloud Temple avertit toutefois du manque de lisibilité d'un cadre législatif abordant séparément sujets juridiques et sujets techniques. « La dépendance juridique et l'exposition aux lois extraterritoriales ne sont pas des débats idéologiques : ce sont des facteurs de sécurité concrets, au même titre qu'une vulnérabilité logicielle, explique la société. Les séparer artificiellement du risque technique complique la décision des dirigeants et des acheteurs publics. »

Contactée, la DGE n'a pas donné suite à notre sollicitation. L'Anssi indique ne pas avoir d'éléments à partager sur ce sujet.

En complément :

- SecNumCloud, une protection contre le droit extraterritorial, pas une garantie absolue

Le CSA2 s'attaque aux fournisseurs « à haut risque »

Si le CSA2 se focalise avant tout sur des critères techniques, il introduit toutefois la notion de fournisseurs à haut risque, pour les entités émanant de pays posant des questions en matière de cybersécurité ou contrôlées par des individus de ces pays. Ces fournisseurs seraient alors écartés de toute certification cyber européenne. Difficile toutefois d'imaginer que ce mécanisme puisse s'appliquer à la technologie américaine dans son ensemble, même si le sujet inquiète le CCIA Europe, le lobby des grands industriels IT d'outre Atlantique (AWS, Google, Cloudflare, Apple, Meta...). La perspective a également fait réagir le ministère chinois des Affaires étrangères, qui a exprimé sa « vive préoccupation » contre ce qu'il considère comme une mesure de protectionnisme inefficace.