Carrières

L’EUCS face à SecNumCloud : le point sur la question

Résumé

L’EUCS (European Union Cybersecurity Certification Scheme for Cloud Services) est un projet de loi définissant les exigences en matière de cybersécurité entre les différents membres de l’UE.

Il pose trois niveaux d’assurance différents de certifications pour faire face aux risques.

Projet structurant, il aurait des conséquences potentiellement très restrictives pour certains acteurs, notamment les hyperscalers… mais établit un cadre nécessaire aussi bien pour la souveraineté que pour la protection des données.

Qu’est-ce que le projet EUCS 
et pourquoi cette initiative ?

L’EUCS pour European Union Cybersecurity Certification Scheme for Cloud Services est un projet de loi visant à définir les exigences en matière de cybersécurité entre les différents membres de l’UE dans le cloud. Initié il y a plusieurs années par l’agence de l’Union Européenne pour la Cybersécurité (ENISA), ce projet a pour vocation de consolider un paysage fragmenté au niveau européen en matière de certification cloud.

La France a le niveau d’exigence en matière de sécurité le plus élevé au travers de la qualification SecNumCloud délivrée par l’ANSSI. Au-delà des aspects de renforcement des aspects de cybersécurité, priorité de l’initiative, il est aussi beaucoup question de souveraineté digitale.

Définir des niveaux d’assurance
différents de certification

3 niveaux d’assurance sont définis :

Le niveau d’assurance basique

Le niveau d’assurance basique dont l’objectif est de minimiser les risques fondamentaux et connus d’incidents de cyberattaques.

Le niveau d’assurance substantiel

Le niveau d’assurance substantiel, destiné à minimiser les risques connus de cybersécurité, ainsi que le risque d’incidents et de cyberattaques menées par des acteurs disposant de compétences et de ressources limitées.

Le niveau d’assurance élevé

Le niveau d’assurance élevé, destiné à minimiser le risque de cyberattaques de pointe menées par des acteurs disposant de compétences et de ressources importantes.

Ce dernier niveau est subdivisé en deux sous-niveaux distincts :

CS-EL3 (« catégorie 3 » ou « élevé »)

CS-EL3 (« catégorie 3 » ou « élevé »), avec obligation pour le prestataire d’offrir au moins une option contractuelle dans laquelle tous les lieux de stockage et de traitement des données se situent dans l’Union européenne.

CS-EL4 (« catégorie 4 » ou « élevé+ »)

CS-EL4 (« catégorie 4 » ou « élevé+ »), qui exige de la part du prestataire que toutes les activités de traitement des données aient lieu dans l’Union européenne, à moins que les clients n’acceptent certaines exceptions limitées. Les fournisseurs de services cloud devront dans ce cas dresser la liste de toutes les activités d’assistance réalisées en dehors de l’Europe.

 

Chose importante, dans les deux cas les fournisseurs de services cloud ne devront faire appel qu’à un fournisseur de services de confiance basé dans un pays de l’Union pour construire et maintenir leur infrastructure numérique.

Ce point est largement inspiré du référentiel SecNumCloud dans sa version 3.2. qui prévoit dans le point 19.2 « Localisation de données » que « le prestataire doit stocker et traiter les données du commanditaire au sein de l’Union Européenne, que les opérations d’administration et de supervision du service doivent être réalisées depuis l’Union Européenne, et que le prestataire doit stocker et traiter les données techniques au sein de l’Union Européenne »

Additionnellement à cela, des exigences en matière d’immunité ont été formulées, à savoir que les fournisseurs de cloud doivent démontrer leur immunité juridique vis-à-vis des juridictions extra européennes.

En savoir plus sur le cloud de confiance

Pour rappel, les hyperscalers américains sont soumis au
« Cloud Act » et à la loi Fisa qui indique en substance que des réquisitions peuvent être faites par le gouvernements américains à tout moment et cela sans avertissement préalable. En parallèle, le règlement RGPD stipule que les données personnelles ne peuvent être transférées, exploitées… sans le consentement éclairé de la personne.

Des exigences de souveraineté
qui font débat

Ce dernier point est en effet très discuté car si de telles conditions venaient à être entérinées, des acteurs non-européens tels que les poids lourds du marché du cloud, les hyperscalers, seraient non-éligibles au plus haut niveau d’assurance de la certification européenne.

Pour se garantir de l’immunité aux lois extraterritoriales ce point est cependant incontournable…

En savoir plus sur les avantages de la protection de données offerte par le cloud souverain

Au-delà des hyperscalers, farouchement opposés à ce principe, la sensibilité des pays européens est elle aussi différente. Certains pays sont partisans d’un marché libre ouvert à tous les acteurs y compris des acteurs non-européens, et d’autres, la France en tête, sont pro-souveraineté. En parallèle, le Comité européen de la protection des données a pris position en novembre 2021, citant l’arrêt « Schrems II » rendu par la Cour de justice de l’Union européenne en 2020, dans lequel la Cour demandait un renforcement des garanties concernant le transfert de données à caractère personnel de l’Europe vers les États-Unis. Ce point est cependant affaibli par la décision d’adéquation adoptée en juillet 2023 par la Commission européenne pour les Etats-Unis (Data Privacy Framework).

En conclusion

En conclusion, l’atterrissage final de ce projet est flou, mais il est certain que les décisions qui seront prises seront très structurantes pour la souveraineté de l’Europe. Quoi qu’il en soit, les industriels du cloud français se mobilisent et sollicitent l’aide du gouvernement pour un EUCS exigeant et protecteur.

A propos de NumSpot

NumSpot est un acteur du cloud souverain et de confiance. Né de la volonté de 4 entreprises françaises de premier plan des secteurs public et privé (Banque des Territoires, Docaposte, Dassault Systèmes et Bouygues Télécom), NumSpot propose une offre de cloud indépendant, souverain et robuste adossé au IaaS d’OUTSCALE qualifié SecNumCloud. NumSpot est un cloud réversible et transparent, basé principalement sur l’open source et des solutions européennes. L’offre NumSpot s’adresse prioritairement aux secteurs confrontés à une forte sensibilité des données (secteur public, santé, services financiers et assurance, OIV et OSE) en France et en Europe, et à la recherche d’une solution souveraine et de confiance en accord avec les règlementations RGPD et européennes. NumSpot fait ainsi le choix d’œuvrer pour l’intérêt général en proposant un véritable pacte de confiance entre un fournisseur de cloud, ses clients et les citoyens européens. 

Ça pourrait
vous intéresser

Le SIH (Système d’Informations Hospitalier) est un élément fondamental et stratégique de l’établissement hospitalier, et ce à plusieurs titres : la gestion des processus administratifs (Comptabilité,...

7 min de lecture

Dans un contexte de développement massif de l’informatique en nuage dominé par une poignée d’acteurs hégémoniques proposant des offres de grande qualité, la question de...

5 min de lecture

Résumé SecNumCloud est une qualification délivrée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Informations) aux prestataires de service cloud au terme d’un long...

4 min de lecture

Offres packagées

Découvrez les offres que nous avons bâties avec nos partenaires technologiques.

Cas clients

Trouver

Un partenaire

Découvrez la liste des partenaires embarquant les technologies NumSpot (éditeurs,
intégrateurs, distributeurs, revendeurs, sociétés de conseil)

CobolCloud
Produits

Gestion et opérations
Compute
Containers
Network
Storage
Database
Security and identity
Developers

Solutions

Cas clients

Découvrez la mise en oeuvre de nos technologies au travers de nos cas clients.

Gestion et opérations
Compute
Containers
Network
Storage
Database
Security and identity
Developers

Produits & disponibilités