EUCS, le rêve d’un cloud souverain européen au pied du mur
« Il n’y a pas de désaccord sur les objectifs, mais sur la manière d’y parvenir. Et on n’a pas de mécanisme pour débloquer la situation. Donc, parfois, ça stagne, tout simplement ». Éric Vétillard, expert certification à l’ENISA, déplore les lenteurs prises pour l’adoption de l’EUCS. Pourtant, le projet de certification européenne des services cloud porté par l’agence européenne pour la cybersécurité affiche des ambitions à la hauteur des enjeux du marché du cloud. « L’idée, c’est d’avoir une reconnaissance mutuelle, une labellisation partagée », détaille Éric Vétillard. L’harmonisation des certifications de cybersécurité des services cloud dans toute l’UE créerait un marché unique du cloud en Europe, puisque tout service certifié dans un État membre serait automatiquement reconnu dans les 26 autres.
On en est loin, ont déploré l’expert certification à l’ENISA et les autres participants à la table ronde « EUCS : le déclin d’une ambition européenne ? » qui s’est tenue lors du Forum INCYBER. De fait, à ce jour, aucune version opérationnelle n’est en place et les discussions restent paralysées. Pendant ce temps, le marché du cloud explose et l’Europe n’est pas aux commandes. « Le cloud, c’est l’ordinateur de quelqu’un d’autre », résume Thomas Sanjullian, responsable développement de certifications cybersécurité à l’AFNOR Certification. Et donc, potentiellement, son problème. Sans garantie, sans transparence, sans contrôle, le risque, notamment juridique, explose. « Et aujourd’hui, cet ordinateur est largement outre-Atlantique. » Un constat qui n’a rien d’exagéré. Selon Synergy Research, près de 72 % du marché européen est contrôlé par trois entreprises américaines : AWS, Microsoft Azure et Google Cloud. Sans certification claire et exigeante, difficile de voir émerger des alternatives crédibles.
L’EUCS, protection hypothétique… et au rabais ?
En l’absence d’un EUCS abouti, la France a pris les devants avec son propre standard, SecNumCloud, piloté par l’ANSSI. « C’est le pendant français de l’EUCS. Il est aujourd’hui dans sa version 3.2. », rappelle Thomas Sanjullian. « Ce référentiel impose notamment des restrictions extraterritoriales strictes, en réponse à l’arrêt Schrems II », qui avait invalidé le Privacy Shield entre l’UE et les États-Unis, précise-t-il encore.
Le problème ? L’EUCS, dans son état actuel, ne reprend pas ces garanties. Le niveau « high+ », qui aurait pu faire écho aux exigences de SecNumCloud, a été retiré en 2023. Résultat : aucun cadre européen n’exige qu’un fournisseur soit réellement européen ou hors d’atteinte des lois étrangères. Me Garance Mathias, avocate spécialisée en droit du numérique et fondatrice du cabinet Mathias Avocats, tire la sonnette d’alarme : « Est-ce que cette certification va permettre de nous protéger contre des accès autorisés ou non par des pays tiers ? La CNIL a pris position en juillet dernier sur les risques de transferts non maîtrisés et d’absence de contrôle sur nos données. »
La menace n’est pas hypothétique. Le CLOUD Act américain, adopté en 2018, autorise les autorités fédérales US à accéder aux données hébergées par toute entreprise de droit américain, même si ces données sont stockées dans un data center européen. Des entreprises européennes de premier plan, telles que Deutsche Telekom, Airbus et Orange, ont critiqué les propositions de certification qui ne tiennent pas compte de ces risques. Dans une lettre conjointe, elles ont averti que « l’inclusion des exigences de contrôle européen et de siège dans l’UE est nécessaire pour atténuer le risque d’accès illégal aux données sur la base de lois étrangères ».
En France, « dichotomie totale » sur la cybersécurité
« Même avec des systèmes étanches techniquement, si un juge américain émet un mandat, il faudra y répondre. La loi s’applique, même à distance », rappelle Me Mathias. Elle souligne de plus l’illusion de la protection contractuelle : « Les stipulations dans les contrats peuvent aider à gérer ces demandes, mais ne les écarteront jamais. Si on a un mandat d’un juge, par exemple américain, il faudra y répondre. »
Ce flou profite à certains fournisseurs, qui jouent sur les mots. Lors de la table ronde, un auditeur témoigne : « À 50 mètres d’ici, un fournisseur m’a promis l’étanchéité aux lois extraterritoriales. Vous êtes en train de m’expliquer qu’elle n’existe pas. » Éric Vétillard botte en touche : « il existait il y a longtemps une version de l’EUCS où ces entreprises ne seraient pas passées au fameux niveau “high+” […] Maintenant, on parle de transparence sur l’exposition aux lois non européennes. ». C’est aussi tout ce que promet Garance Mathias dans le cadre de l’EUCS actuel : « ça va aider à avoir une transparence, à ce que le client final soit au courant de l’existence de ce mandat, et non pas l’hébergeur. »
L’ironie, c’est que la France elle-même ne suit pas toujours ses propres recommandations. « D’un côté, on pousse SecNumCloud. De l’autre, l’Éducation nationale et Polytechnique signent avec Microsoft. C’est une dichotomie totale », regrette Thomas Sanjullian. Même frustration du côté des industriels du cloud français, qui peinent à faire entendre leur voix face à des décideurs publics peu réceptifs.
Pourtant, la dynamique est là : « quand j’ai commencé, on avait très peu de demandes. Aujourd’hui, on a quinze offres qualifiées SecNumCloud, onze autres en cours, et une augmentation de 70 % en un an. Le marché pousse », se félicite le responsable développement de certifications cybersécurité à l’AFNOR. Cependant, la règle du jeu reste floue. « Les entreprises investissent sans savoir si SecNumCloud sera intégré à l’EUCS. Elles prennent un risque, et l’État aussi », complète-t-il.
« Il faut un électrochoc, comme aux Pays-Bas »
Éric Vétillard estime que l’Europe pourrait se contenter d’un niveau de certification « substantial », plus facile à atteindre, mais bien moins protecteur, comme base de consensus. « Ce serait un premier pas pour donner de la visibilité aux fournisseurs européens. Un label européen pour exister face aux Américains », explique-t-il. Mais pour Thomas Sanjullian, ce serait un compromis au rabais : « on perdrait la spécificité de la lutte contre les lois extraterritoriales. Soit on réintègre un niveau “high+”, soit la France devra opter pour un régime d’exception. »
« Ce niveau correspond à un service cloud de qualité raisonnable. Cela peut être un tremplin, mais ce n’est pas suffisant pour les données sensibles », approuve Éric Vétillard. Les services certifiés « high » ou « high+ » visent un autre public : celui qui valorise la cybersécurité comme un avantage compétitif. « Ce sont des services que l’on paye plus cher parce qu’ils offrent plus de garanties. Mais leur absence dans l’EUCS actuel, c’est un problème », déplore l’expert en certification de cybersécurité à l’ENISA.
Garance Mathias abonde : « il faut une vision globale. Pas seulement technique, mais aussi juridique et stratégique. Il y a des enjeux liés aux appels d’offres, à la concurrence. Et aujourd’hui, en tant qu’acteurs publics ou privés, on ne sait pas sur quelle base légale on peut exiger des garanties. »
Les intervenants pointent tous l’absence de leadership politique. « Tout existe déjà : doctrines, directives, outils juridiques. Mais rien n’est appliqué. Il faut un électrochoc. Comme aux Pays-Bas », lance Éric Vétillard. En janvier 2024, un rapport de la Cour des comptes néerlandaise a provoqué une réduction massive et rapide de la dépendance aux clouds américains.
Souveraineté numérique, « les lignes bougent »
De fait, alors qu’avec SecNumCloud, son standard très exigeant en termes de souveraineté, la France a longtemps fait cavalier seul, « les lignes bougent », se félicite Thomas Sanjullian. « Les Pays-Bas ont rejoint cette logique avec l’idée d’un cloud souverain. Et même l’Italie ou la République tchèque s’y intéressent. Ce n’est plus un réflexe uniquement français. »
La directive NIS 2, qui est entrée en vigueur en octobre 2024, pourrait jouer un rôle similaire. Elle impose aux entreprises critiques de documenter leur exposition aux risques, y compris juridiques. « Cela permettra peut-être, enfin, de justifier dans les appels d’offres le fait d’exiger un certain nombre de protections contre l’exposition à des lois non opérantes ou de la possibilité de fuite de données », estime Éric Vétillard.
Pour Thomas Sanjullian, l’UE vit un paradoxe. « On parle d’Europe de la Défense, de budgets communs. Mais sur le cloud, rien n’avance. Il y a des freins budgétaires, mais aussi un manque de vision. Une offre cloud souveraine coûte entre 20 et 30 % de plus. La vraie question, c’est : êtes-vous prêts à payer pour votre sécurité numérique ? » Pour Garance Mathias, la réponse devrait être évidente. « La localisation, les backups, l’archivage, les risques géopolitiques, tout cela doit être intégré dans une gouvernance sérieuse. La cartographie des risques n’est plus une option. C’est une obligation. »
À vouloir ménager tout le monde, l’Union européenne risque de rater sa cible. Sans un EUCS aligné sur les exigences de souveraineté numérique – ou du moins capable d’y répondre –, les données sensibles resteront vulnérables, les fournisseurs européens marginalisés, et les lois extraterritoriales continueront d’exercer leur emprise.Et, comme le résume froidement Éric Vétillard, cinq ans après le début du projet : « je n’ai plus de date à donner. On a trop promis. Maintenant, il faut livrer. »