Aux Pays-Bas, l’OTC (Online Trust Coalition), un partenariat public-privé regroupant 24 organisations néerlandaises, a récemment exprimé, dans une lettre adressée à la Commission européenne, à l’ENISA et au Parlement européen, ses préoccupations concernant le système européen de certification de la cybersécurité pour les services cloud, ou EUCS.

Les ambitions et les objectifs de la Commission européenne ne sont pas remis en cause. En effet, il est important de disposer d’un ensemble normalisé et harmonisé de règles de cybersécurité pour les services cloud et les prestataires de services cloud qui fournissent leurs services dans l’UE. Pour les milliers de fournisseurs de services cloud dans l’UE, une norme forte créera de la clarté et des conditions de concurrence équitables et permettra de générer la confiance sur le fait que les données des citoyens de l’UE sont protégées. Des projets tels que Gaia-X bénéficieront grandement d’une telle norme.

Mais, maintenant que l’EUCS est sur le point d’être achevé, des inquiétudes sont apparues. La direction prise par l’ENISA pour l’EUCS s’avère avoir des effets néfastes importants sur le marché européen du cloud. L’OTC a identifié trois risques importants.

Premièrement, l’ENISA a adopté pour l’EUCS une approche fondée sur des règles. Bien que cela puisse sembler être un détail technique, c’est loin d’être le cas. Les systèmes basés sur des règles conviennent bien aux services et produits statiques, mais elles créent des difficultés importantes pour les services cloud, qui, de par leur nature même, évoluent continuellement. Par conséquent, les coûts de conformité d’une approche fondée sur des règles seront énormes. En outre, il y a de nombreuses raisons de croire que le système n’apportera pas l’assurance requise aux clients, aux utilisateurs finaux et aux autorités du cloud. Par ailleurs, une approche obligatoirement fondée sur des règles s’avère incompatible avec d’autres réglementations qui régissent le cloud (telles que DORA, le RGPD, la directive NIS et la future réglementation sur l’IA), car ces dernières exigent toutes une approche de gouvernance fondée sur des principes.
Une deuxième préoccupation concerne l’inclusion dans le système de plusieurs règles garantissant une immunité par rapport au droit non européen, comme le proposent la France, l’Allemagne, l’Italie et l’Espagne. L’OTC souligne qu’il ne s’agit pas d’une question de cybersécurité, mais d’une question juridique qui doit d’abord être résolue par la Commission et le Parlement européen. En outre, étant donné leurs énormes conséquences, de telles règles détaillées ne peuvent être établies avant que l’UE et le Parlement européen n’aient validé qu’il s’agit bien de la stratégie à adopter pour les questions de souveraineté numérique et d’application du RGPD. Troisièmement, l’OTC a demandé à la Commission et au Parlement européen d’examiner de plus près les systèmes nationaux de cybersécurité, car il existe un risque important que de telles exigences (si elles restent en place) créent des obstacles importants à l’expansion des fournisseurs européens de services cloud sur un marché européen ouvert. Cela entraverait la croissance et l’expansion nécessaires des PME européennes spécialisées dans le cloud.

L’OTC propose de renforcer la confiance numérique en adoptant l’approche d’assurance, qui est déjà une bonne pratique courante sur le marché mondial du cloud. Cet objectif peut être atteint en utilisant une approche fondée sur des principes pour toutes les réglementations relatives au cloud (y compris l’EUCS) et en harmonisant les normes d’audit de l’UE, telles que l’ISAE 3402. En outre, l’ENISA doit développer des normes de rapport d’assurance pour les différentes parties prenantes.

Les informations, les positions et les livres blancs de l’OTC peuvent être consultés ici : www.onlinetrustcoalition.nl https://onlinetrustcoalitie.nl/publicaties/

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.