Alors même que les Américains viennent de renouveler la loi FISA autorisant l’espionnage numérique des Européens à grande échelle, la certification EUCS en cours d’élaboration par l’ENISA serait sur le point de renoncer à l’immunité juridique des prestataires de cloud vis à vis des juridictions étrangères. Un risque de dégradation majeur du niveau de cybersécurité dans l’UE, dénoncé par des nombreux fournisseurs IT et entreprises européennes.
Depuis 2020, l’agence de l’Union européenne pour la cybersécurité (ENISA) élabore une certification européenne relative aux prestataires de cloud (EUCS pour European Union Cybersecurity Certification Scheme for Cloud Services). L’idée serait de définir quatre niveaux de certifications (niveau 1,2,3 et 3+), afin d’harmoniser les différentes attestations européennes existantes. Contrairement à C5, AgID et ENS, respectivement allemande, italienne et espagnole, l’attestation française SecNumCloud de l’ANSSI est beaucoup plus exigeante. Sa version 3.2 impose que le fournisseur IT ne soit pas soumis à l’extraterritorialité de droits étrangers, en particulier américain. La conception de la souveraineté numérique inclut ainsi un cadre juridique pour les Français, non pris en compte par les autres Etats Membres de l’UE.
Suppression du cadre juridique de l’EUCS : vers une dégradation du niveau de cybersécurité dans l’UE ?
L’ENISA serait ainsi sur le point de supprimer le niveau le plus stricte, le CS-EL4, qui s’aligne sur les exigences du SecNumCloud 3.2. Dans une tribune publiée en avril 2024, Guillaume Poupard alertait sur « le véritable enjeu […] d’admettre et d’assumer que certaines données et certains processus sont très sensibles, que leur traitement doit être réalisé dans des conditions de sécurité technique, opérationnelle et juridique particulièrement stricts, et qu’une des conséquences est alors de s’assurer que seul le droit européen s’applique, à l’exclusion de tout autre. » La suppression du cadre juridique dans la protection des données poserait question pour le développement de programme européens interétatiques, à l’image du SCAF : Dassault accepterait-il que les données du ministère des Armées fuitent chez les Américains ou les Chinois ? Un sujet sensible, alors même que les Etats-Unis ont renouvelé en avril dernier la loi FISA, autorisant l’administration américaine à espionner ouvertement les communications étrangères, et collecter les données sur les Américains.
Outre un problème immédiat de souveraineté, l’enjeu réside également dans la disparition de systèmes suffisamment sécurisés pour héberger les données sensibles, faute de marché. En plus de cet affaiblissement du niveau de la cybersécurité dans l’Union Européenne, les appels d’offres plus exigeants que la certification EUCS seraient immanquablement attaqués en justice. La protection SecNumCloud française, les clouds de confiance ou clouds souverains seraient ainsi vidés de leur sens. Face à ce risque imminent, 18 fournisseurs de cloud européens ont exprimé leur colère à travers deux lettres ouvertes réclamant la réintégration du critère de sécurité juridique dans l’EUCS. Airbus, Orange, OVHcloud, Dassault Systèmes, Capgemini, EDF, Exoscale, Open Nebula ou encore Sopra Steria espèrent ainsi convaincre les Etats membres de la nécessité de conserver les critères initiaux du niveau élevé du label EUCS, qui devrait être dévoilé courant mai.
Agathe Bodelot
Pour aller plus loin :