Stratégie

Un SecNumCloud européen ? L'Anssi y croit encore... mais en pièces détachées

---

Selon le directeur général de l'Anssi, l'Europe devrait bien s'engager dans un mécanisme de protection du cloud contre les législations extraterritoriales. Via un texte dédié, séparé de celui portant les exigences cyber.

PublicitéEn début d'année, Bruxelles dévoilait une première version de la révision de la directive européenne sur la cybersécurité, le Cybersecurity Act 2 (ou CSA2), faisant l'impasse sur toute forme d'immunité aux législations extraterritoriales. Un échec pour Paris qui défend de longue date une logique inspirée du label SecNumCloud français combinant critères techniques de cybersécurité et, depuis 2022, immunité aux législations extraterritoriales. La DGE (Direction générale des entreprises), qui porte ce dossier à l'UE aux côtés de l'Anssi, avait d'ailleurs reconnu, lors d'un événement à Bercy, en février dernier, avoir perdu les arbitrages à ce sujet. Une simple péripétie ? C'est en tout cas la position que défend Vincent Strubel, le directeur général de l'Anssi.

S'exprimant dans le cadre de la journée L'Etat dans le nuage, organisée le 25 mars par la Dinum, ce dernier estime que voir dans CSA2 une défaite de la France serait en faire une « lecture erronée ». Jugeant que le sujet de la sécurité du cloud suscite un réel intérêt au niveau européen - et que les différents pays ont un intérêt collectif à aligner référentiels et perceptions des risques -, Vincent Strubel reconnaît que cet alignement a buté sur la question des risques dits non techniques, autrement dit sur l'immunité aux législations non européennes. S'il admet que le chantier d'un label EUCS High+ - déclinaison européenne du SecNumCloud - « n'a pas débouché », le directeur général de l'Anssi assure que « ces chantiers-là s'ouvrent à nouveau ».

Sujet clef pour les 10 fournisseurs déjà labellisés

Autrement dit, selon lui, si la question des risques techniques - comprendre de cybersécurité - a vocation à être couverte par le CSA2, celle relative aux risques non techniques, soit l'accès aux données d'organisations européennes en vertu de lois étrangères, notamment américaines, doit être traitée dans un autre texte de Bruxelles, le ICT Supply Chain Security Toolbox. « Même si, pour la France, la séparation entre risques techniques et non techniques apparaît un peu artificielle, l'important, c'est que l'Europe reconnaisse l'importance de travailler sur les seconds », souligne Vincent Strubel. Pour ce dernier, « on ne peut pas se contenter d'une vision centrée sur des pays et vendeurs jugés à risque ». Une référence à l'approche que renferme le CSA2 et qui écarte ces fournisseurs de toute certification cyber européenne.

Pour les 10 fournisseurs ayant déjà obtenu le label SecNumCloud pour 17 de leurs offres, l'issue des débats européens est scrutée avec soin. Voir émerger un schéma de certification européen aligné sur le label français de l'Anssi se traduirait par un accès rapide, et à moindre coût, à de nouveaux marchés. A l'inverse, la naissance d'un schéma européen ignorant les exigences hexagonales rendrait leurs investissements dans SecNumCloud moins pertinents. Pire, elle pourrait les rendre caduques, y compris en France !

PublicitéA chacun sa définition de la souveraineté

Si les officiels français soulignent l'alignement croissant des positions européennes sur le sujet, en particulier avec Berlin, dans la foulée du sommet franco-allemand sur la souveraineté numérique de 18 novembre dernier, la position française sur les exigences liées à un cloud de confiance restait jusqu'à récemment très minoritaires dans l'Europe des 27. Même l'Allemagne, pourtant sourcilleuse du contrôle de ses données, semble privilégier une approche différente du sujet, comme en témoigne la construction outre-Rhin d'un cloud AWS présenté comme 'souverain' et représentant un investissement de 7,8 Md$ de la part de l'hyperscaler américain. « Les discussions avec nos partenaires européens ne sont naturellement pas simples », reconnaît Vincent Strubel.

Article rédigé par

Reynald Fléchaux, Rédacteur en chef CIO
Suivez l'auteur sur Twitter

Partager cet article