L’Agence de l’Union européenne pour la cybersécurité (ENISA) devrait présenter sa recommandation finale pour le système européen de certification de la cybersécurité pour les services cloud (EUCS) en septembre. Le projet actuellement discuté prévoit d’établir trois niveaux d’assurance, le plus élevé comprenant des critères garantissant l’immunité contre les lois extraterritoriales. « Nous, utilisateurs et fournisseurs européens de services cloud, sommes convaincus qu’un tel niveau d’assurance est le seul moyen d’atteindre un niveau élevé de cybersécurité et de protection des données, tout en créant la confiance dans les services cloud en Europe », déclare L’Agence.
ENISA appelle les États membres, la Commission européenne et l’ENISA à soutenir ces critères. Pour l’organisation, il s’agit d’une occasion unique de démontrer son engagement à garantir la transparence, la confiance et la sécurité sur le marché européen du cloud et des données. « Le choix n’est pas politique : il s’agit de notre avenir », poursuit l’organisation.
Voici, ci-dessous, les trois raisons évoquées pour ce projet tel que presenté par l’ENISA :
Se conformer à l’architecture réglementaire applicable dans l’Union européenne
Intégrer les dimensions juridiques et techniques de la souveraineté. La décision "Schrems II" de 2020 de la CJUE a montré la nécessité pour les organisations européennes utilisant des services cloud d’assurer la protection et le contrôle de leurs données, notamment contre le transfert de données en dehors de l’UE et l’exposition aux lois extraterritoriales. Or, la protection des données implique une protection contre les risques physiques et cybers. Le projet de schéma est le seul moyen d’englober le contrôle et la souveraineté des données, non seulement dans ses dimensions techniques mais aussi juridiques. Cela a été clairement souligné par le Conseil européen de la protection des données (EDPB) dans une lettre envoyée à l’ENISA en novembre 2021.
Conforme aux règles du commerce international. Un tel système ne nous mettrait pas, nous, utilisateurs européens, en conflit avec les règles du commerce international. En effet, l’Accord général sur le commerce des services (AGCS) de l’OMC considère comme une exception générale à l’AGCS « la protection de la vie privée des individus en ce qui concerne le traitement et la diffusion des données à caractère personnel et la protection de la confidentialité des dossiers et comptes individuels. »
Répondre aux attentes des utilisateurs européens du cloud en matière de confiance et de sécurité dans le cloud
Une préoccupation croissante concernant la protection des données. Lors de la consultation publique sur la loi sur le Data Act, 76 % des répondants ont estimé que l’accès des pays tiers à leurs données constituait un risque pour leur organisation, 19 % d’entre eux le considérant comme un risque élevé. Liberté de choix de l’utilisateur. Un tel système fournit un cadre pour choisir en connaissance de cause les services cloud, en fonction du niveau de sensibilité des données.
Il n’est donc pas surprenant que les représentants des utilisateurs européens du cloud (représentés par des associations telles que le Cigref, Voice) soutiennent ces critères : « nous considérons tous que le système est une réponse concrète à nos besoins de certitudes juridiques lorsqu’il s’agit de transfert international de données ou d’utilisation et d’accès à des données hautement sensibles. En tant que tel, il faut nous laisser décider du niveau de garantie dont nous avons besoin pour nos activités, et de la nécessité d’appliquer des critères de souveraineté et d’immunité ».
Gaia-X, le premier jalon. L’adoption des critères de labellisation de Gaia-X en avril 2022 a été une première étape importante pour aider les utilisateurs européens à choisir des services qui maintiennent les normes les plus élevées en termes de souveraineté, de protection des données, de transparence, de sécurité et de portabilité, lorsque cela est nécessaire. Et, selon les résultats d’une enquête de Bitkom, publiée en juin 2022, près de la moitié des entreprises interrogées déclarent être intéressées par l’utilisation des services Gaia-X, les trois critères les plus importants pour l’utilisation des services conformes à Gaia-X étant : la conformité et la sécurité juridique en matière de protection des données (55 %), des normes élevées pour la sécurité informatique (51 %) et plus de souveraineté et de confiance pour le transfert des données (46 %).
Permettre aux fournisseurs de cloud de relever les défis d’un marché du cloud en hypercroissance
Marché déséquilibré. Le marché européen du cloud devrait atteindre jusqu’à 260 milliards d’euros d’ici 2027 - ce qui est comparable au marché actuel des télécommunications - et plus de 500 milliards d’euros d’ici 2030. Il est actuellement composé d’une constellation de divers acteurs européens de petite et moyenne taille et dominé par trois sociétés basées aux États-Unis (les "hyperscalers" qui détiennent 70 % du marché européen et captent l’essentiel de sa croissance.
Amazon, Microsoft et Google ont capté 80 % de la croissance des dépenses françaises en Cloud public d'infrastructures en 2021, les autres fournisseurs ont réalisé ensemble 23 % de croissance.
Sans l’adoption d’un schéma qui établit le niveau d’assurance nécessaire en matière de cybersécurité et de protection des données, la seule alternative serait d’obtenir une variété de certifications complémentaires (même au niveau national) ou de profils étendus - potentiellement concurrents - correspondant au niveau de sensibilité des données.
Contribuer à un marché du cloud plus équitable. Un système de certification unique et harmonisé, disponible dans tous les États membres de l’UE, sera donc plus facilement adopté par nous et contribuera à un marché du cloud plus équitable, pour les raisons suivantes :
- Tous les acteurs du cloud, en particulier les plus petits (PME), ne sont pas en mesure de se conformer à une série de certifications différentes et/ou complémentaires ;
- Un système unique limitera les coûts de certification, en particulier pour les fournisseurs et utilisateurs de cloud disposant de peu de ressources humaines et financières ;
- Un système unique contribuera à renforcer la compétitivité en Europe, en donnant accès à tous les marchés grâce à une seule et unique certification, sans avoir à choisir entre plusieurs certifications, toutes basées sur leur propre liste de critères.
Solidarité́ au sein de la souveraineté
Selon l’ENISA, il existe déjà aujourd’hui plusieurs fournisseurs de cloud européens, dont certains des signataires de la lettre, qui peuvent offrir le plus haut niveau de cybersécurité. « Comme nous sommes tous convaincus de l’importance vitale de propulser tout l’écosystème européen au sommet, ces fournisseurs de cloud sont prêts à soutenir et à accompagner les utilisateurs de cloud et les petits fournisseurs de cloud pour se conformer à ces exigences. » « C’est la solidarité au sein de la souveraineté »
Scaleway, ne croirait pas à la solidarité au sein de la souveraineté. Début décembre, l'hébergeur Internet français et acteur majeur dans la fourniture des services cloud en France, déclare que le cloud souverain n'est pas crédible et abandonne le projet GAIA-X. Un projet de développement d'une infrastructure de données compétitive, sécurisée et fiable pour l'Union européenne.
« Nous n'avons pas de temps à perdre à jouer aux échecs... ni l’envie de prolonger le statu quo. Les premiers mois du projet GAIA-X ont été caractérisés par une importante incompréhension quant à sa portée et ses objectifs : certains l'ont décrit comme un "Airbus du cloud", d'autres ont pensé qu'il opérerait un "cloud souverain", d'autres encore parlaient d'une ''fédération d'offres de cloud'' », indique le PDG de Scaleway, Yann Léchelle, PDG de Scaleway.
« Le 18 novembre 2021, nous avons annoncé que notre entreprise ne renouvellerait pas son adhésion au projet GAIA-X en 2022. Les objectifs de l’Association, quoique louables au départ, sont de plus en plus détournés et contrariés par un paradoxe de polarisation ayant pour conséquence de renforcer le statu quo, c’est-à-dire une concurrence déséquilibrée. Scaleway choisit de consacrer son temps, ses capitaux et son attention à améliorer son offre multicloud, un facteur clé pour une véritable réversibilité et ouverture », a déclaré Yann Léchelle.
En octobre, le géant Français de la défense, Thales, et Google ont annoncé la création d'une nouvelle entreprise commune pour offrir un service de cloud souverain en France. « En adressant à la fois les aspects techniques et juridiques du label « cloud de confiance » du gouvernement français, cette approche illustre notre compréhension commune des enjeux et bénéfices du cloud pour les entreprises et institutions françaises, et la volonté de collaborer étroitement et concrètement, en France, pour créer des conditions favorables à l’innovation, de façon ouverte et autonome », avait déclaré Samuel Bonamigo, Vice President EMEA South, pour Google Cloud.
Source : ENISA
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi :
Le cloud souverain n'est pas crédible ? Scaleway abandonne GAIA-X, un projet de développement d'une infrastructure de données compétitive, sécurisée et fiable pour l'Union européenne
Cloud souverain : Amazon choisi par la SNCF et promu par Orange, l'Etat-actionnaire ferait le jeu des américains, la SNCF a décidé de transférer 7000 serveurs et 250 applications chez AWS
France : Thales et Google créent une coentreprise française de cloud souverain, une offre conçue en France et pour la France