Résumé
L’EUCS (European Union Cybersecurity Certification Scheme for Cloud Services) est un projet de loi définissant les exigences en matière de cybersécurité entre les différents membres de l’UE.
Il pose trois niveaux d’assurance différents de certifications pour faire face aux risques.
Projet structurant, il aurait des conséquences potentiellement très restrictives pour certains acteurs, notamment les hyperscalers… mais établit un cadre nécessaire aussi bien pour la souveraineté que pour la protection des données.
Qu’est-ce que le projet EUCS
et pourquoi cette initiative ?
L’EUCS pour European Union Cybersecurity Certification Scheme for Cloud Services est un projet de loi visant à définir les exigences en matière de cybersécurité entre les différents membres de l’UE dans le cloud. Initié il y a plusieurs années par l’agence de l’Union Européenne pour la Cybersécurité (ENISA), ce projet a pour vocation de consolider un paysage fragmenté au niveau européen en matière de certification cloud.
La France a le niveau d’exigence en matière de sécurité le plus élevé au travers de la qualification SecNumCloud délivrée par l’ANSSI. Au-delà des aspects de renforcement des aspects de cybersécurité, priorité de l’initiative, il est aussi beaucoup question de souveraineté digitale.
Définir des niveaux d’assurance
différents de certification
3 niveaux d’assurance sont définis :
Le niveau d’assurance basique
Le niveau d’assurance basique dont l’objectif est de minimiser les risques fondamentaux et connus d’incidents de cyberattaques.
Le niveau d’assurance substantiel
Le niveau d’assurance substantiel, destiné à minimiser les risques connus de cybersécurité, ainsi que le risque d’incidents et de cyberattaques menées par des acteurs disposant de compétences et de ressources limitées.
Le niveau d’assurance élevé
Le niveau d’assurance élevé, destiné à minimiser le risque de cyberattaques de pointe menées par des acteurs disposant de compétences et de ressources importantes.
Ce dernier niveau est subdivisé en deux sous-niveaux distincts :
CS-EL3 (« catégorie 3 » ou « élevé »)
CS-EL3 (« catégorie 3 » ou « élevé »), avec obligation pour le prestataire d’offrir au moins une option contractuelle dans laquelle tous les lieux de stockage et de traitement des données se situent dans l’Union européenne.
CS-EL4 (« catégorie 4 » ou « élevé+ »)
CS-EL4 (« catégorie 4 » ou « élevé+ »), qui exige de la part du prestataire que toutes les activités de traitement des données aient lieu dans l’Union européenne, à moins que les clients n’acceptent certaines exceptions limitées. Les fournisseurs de services cloud devront dans ce cas dresser la liste de toutes les activités d’assistance réalisées en dehors de l’Europe.
Chose importante, dans les deux cas les fournisseurs de services cloud ne devront faire appel qu’à un fournisseur de services de confiance basé dans un pays de l’Union pour construire et maintenir leur infrastructure numérique.
Ce point est largement inspiré du référentiel SecNumCloud dans sa version 3.2. qui prévoit dans le point 19.2 « Localisation de données » que « le prestataire doit stocker et traiter les données du commanditaire au sein de l’Union Européenne, que les opérations d’administration et de supervision du service doivent être réalisées depuis l’Union Européenne, et que le prestataire doit stocker et traiter les données techniques au sein de l’Union Européenne »
Additionnellement à cela, des exigences en matière d’immunité ont été formulées, à savoir que les fournisseurs de cloud doivent démontrer leur immunité juridique vis-à-vis des juridictions extra européennes.
Pour rappel, les hyperscalers américains sont soumis au
« Cloud Act » et à la loi Fisa qui indique en substance que des réquisitions peuvent être faites par le gouvernements américains à tout moment et cela sans avertissement préalable. En parallèle, le règlement RGPD stipule que les données personnelles ne peuvent être transférées, exploitées… sans le consentement éclairé de la personne.
Des exigences de souveraineté
qui font débat
Ce dernier point est en effet très discuté car si de telles conditions venaient à être entérinées, des acteurs non-européens tels que les poids lourds du marché du cloud, les hyperscalers, seraient non-éligibles au plus haut niveau d’assurance de la certification européenne.
Pour se garantir de l’immunité aux lois extraterritoriales ce point est cependant incontournable…
En savoir plus sur les avantages de la protection de données offerte par le cloud souverain
Au-delà des hyperscalers, farouchement opposés à ce principe, la sensibilité des pays européens est elle aussi différente. Certains pays sont partisans d’un marché libre ouvert à tous les acteurs y compris des acteurs non-européens, et d’autres, la France en tête, sont pro-souveraineté. En parallèle, le Comité européen de la protection des données a pris position en novembre 2021, citant l’arrêt « Schrems II » rendu par la Cour de justice de l’Union européenne en 2020, dans lequel la Cour demandait un renforcement des garanties concernant le transfert de données à caractère personnel de l’Europe vers les États-Unis. Ce point est cependant affaibli par la décision d’adéquation adoptée en juillet 2023 par la Commission européenne pour les Etats-Unis (Data Privacy Framework).
En conclusion
En conclusion, l’atterrissage final de ce projet est flou, mais il est certain que les décisions qui seront prises seront très structurantes pour la souveraineté de l’Europe. Quoi qu’il en soit, les industriels du cloud français se mobilisent et sollicitent l’aide du gouvernement pour un EUCS exigeant et protecteur.
