Texte technique ou politique ? Critère d’immunité aux lois extraterritoriales ou non ? Le futur schéma EUCS pour les clouds fait débattre. Plusieurs experts reviennent sur le nœud gordien à trancher.
Le 6 avril dernier, durant le Forum International de la Cybersécurité à Lille, Alliancy animait une table-ronde consacrée aux négociations en cours autour d’EUCS. Derrière cet acronyme connu avant tout des spécialistes, se cache la volonté de l’Union Européenne d’harmoniser les différents schémas nationaux de certification des « clouds de confiance » qui naissent au sein des Etats membres, à l’image de SecNumCloud en France. Ce nouveau « schéma européen » doit ainsi permettre de faciliter la vie des opérateurs de cloud, en faisant disparaitre la fragmentation des conditions de certifications d’un pays à l’autre, tout en assurant un niveau de confiance plus lisible pour les organisations qui utilisent des services cloud.
Sur le papier, l’idée est évidemment appréciable, mais le diable se cache dans les détails ; les Etats membres n’étant pas tous d’accord sur ce que doit recouvrir la certification. « Nous sommes d’accord sur 99% des sujets, mais les difficultés viennent du dernier 1% » reconnait ainsi Michiel Steltman, directeur de la Dutch Digital Infrastructure Association, invité à prendre la parole lors de la table-ronde. Un petit pourcentage qui pose de grands problèmes.
La vision qui prévaut dans certain pays, dont les Pays-Bas, est qu’il existe un risque d’avoir des conséquences économiques négatives sur le marché, si la certification européenne introduit un « critère d’immunité » (aux lois extraterritoriales, NDLR), qui impliquerait une forte dimension de souveraineté pour les opérateurs. A leurs yeux, le sujet devient donc hautement politique. A l’inverse, d’autres pays, et en particulier la France, forte de son expérience avec SecNumCloud et mené par l’expertise de l’Anssi, estiment qu’un tel critère est une garantie obligatoire face à des risques de sécurité avérés, comme le rappelle Aude Le Tellier, cheffe de division adjointe à la Coordination internationale pour l’Anssi.
Cette table-ronde a donc été intitulée à juste titre « Du rififi sur le schéma de cybersécurité européen dans le cloud » et permet de couvrir l’état des lieux des discussions, alors que l’objectif est de faire atterrir EUCS avant la fin 2023. Elle donne la parole également à Anna Prudnikova, une spécialiste des certifications de Bureau Veritas et à Xavier Filiu, chief information security officer de l’éditeur français Oodrive, qui résume ce que son entreprise attend du futur changement de donne sur la certification européenne. Un tour d’horizon précieux qui permet de voir se confronter les différents arguments fondamentaux autour de l’évolution du marché du cloud en Europe.