Certification des services cloud : l’harmonisation à la peine
![Image [EUCS :] des entreprises européennes s’opposent à l’exclusion du critère de souveraineté](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-europe-institutions-2-2024-885x690.jpg)
![Image [DMA :] la Commission européenne va enquêter sur Alphabet, Apple et Meta](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-europe-institutions-2024-885x690.jpg)
Dans un marché fragmenté et dominé par des fournisseurs de services américains, l’ENISA tente de proposer un schéma de certification commun nommé European Cybersecurity Certification Scheme for Cloud Services (EUCS). Objectif : viser un haut niveau de compétence et de qualité de service en matière de cybersécurité. Les exigences de souveraineté et de sécurité suggérées sont cependant jugées irrecevables par une partie des États membres.
En novembre 2019, la Commission européenne confiait à l’ENISA la mission de préparer un schéma candidat de certification commun pour les services cloud : l’EUCS (European Cybersecurity Certification Scheme for Cloud Services). Son cadre juridique a été fixé dans le Cybersecurity Act.
Le référentiel garantira d’une part un haut niveau de compétence et de qualité de service en matière de cybersécurité, tout en démontrant une protection forte des données sensibles. Il devra d’autre part uniformiser et harmoniser le marché des services cloud avec les réglementations de l’UE, les normes internationales, les meilleures pratiques industrielles, ainsi qu’avec les certifications existantes dans les États membres de l’UE.
Le régime de certification s’appliquera à tous les genres de services cloud : IaaS, PaaS, SaaS, XaaS etc. Il sera volontaire et son approche s’inspirera des systèmes nationaux existants et des normes internationales. Les certificats retenus seront applicables dans toute l’UE. La certification sera, elle, valable trois ans et pourra être renouvelée.
Marché oligopolistique
Aujourd’hui, de nombreux États membres possèdent leur propre schéma de certification : le C5 en Allemagne, SecNumCloud en France et ENS en Espagne. « La diversité des acteurs du marché, les systèmes complexes et le paysage en constante évolution des services en nuage, ainsi que les différents systèmes dans les États membres, posent des défis à la certification des services en nuage », justifie l’ENISA.
Selon le Synergy Research Group, le marché européen du cloud a en effet quintuplé en 2022, par rapport à début 2017, pour atteindre les 10,4 milliards d’euros. « Si les fournisseurs de services européens ont augmenté leurs revenus cloud de 167%, leur part de marché est toutefois tombée de 27% à 13%, leur taux de croissance étant bien inférieur à la croissance globale du marché du cloud », note le groupe de recherches et d’études.
Pour ce dernier, les trois hyperscalers (Amazon, Microsoft et Google), restent les principaux bénéficiaires de la croissance du secteur et occupent désormais 72% du marché UE. Tandis que les leaders européens SAP et Deutsche Telekom ne représentent, chacun, que 2% de parts du gâteau européen.
« Le marché du cloud est un jeu d’échelle où les aspirants leaders doivent placer d’énormes paris financiers, avoir une vision à long terme des investissements et de la rentabilité, maintenir une détermination ciblée pour réussir, et doivent constamment atteindre l’excellence opérationnelle », observe John Dinsdale, analyste en chef chez Synergy Research Group. « Aucune entreprise européenne ne s’est approchée de cet ensemble de critères et le résultat est un marché où les six leaders sont tous des entreprises américaines ».
Chargée d’élaborer une première version du schéma, l’ENISA a réuni un groupe de travail ad hoc composé de 20 acteurs de l’industrie, et d’une douzaine de représentants d’organismes d’accréditation et d’États membres de l’UE.
En décembre 2020, l’agence a alors publié une version provisoire, dont les obligations de sécurité préconisées s’inspirent largement du schéma C5 allemand et du SecNumCloud français. Elles reprennent aussi les principes d’autres référentiels européens et des propositions du groupe de travail ad hoc.
Le document prévoit des exigences de souveraineté : les fournisseurs de services cloud seraient contraints de localiser leurs opérations et leur infrastructure au sein de l’UE et de démontrer leur « immunité » vis-à-vis du droit étranger. « L’objectif de ces exigences spécifiques est de prévenir et de limiter de manière adéquate les interférences éventuelles d’États extérieurs à l’UE avec l’exploitation de services cloud certifiés », précise le document.
Exigences irrecevables
Les propositions de l’ENISA ont ensuite été soumises à une consultation publique, qui a pris fin le 7 février 2021. Sur la base des avis récoltés, l’agence dévoilait, en mai 202, une version 1.1.1. de son schéma candidat, transmise alors à la Commission européenne, qui prendra l’initiative d’un règlement d’exécution. L’ENISA planche actuellement sur un second schéma d’exécution. Selon le calendrier prévu, le schéma final sera adopté mi-2023, et les premiers certificats seront publiés mi-2024.
Pour certains pays et représentants de l’industrie technologique, les exigences de souveraineté , tirées notamment de « la doctrine française d’utilisation de l’informatique en nuage par l’État », sont irrecevables. Alors que le projet de texte repose avant tout sur des « mesures techniques », ils souhaiteraient des discussions au niveau politique également.
Dans un document officieux transmis en avril 2022 à la Commission européenne, les Pays-Bas, la Suède et l’Irlande expliquent en effet que ces exigences proposées « pourraient avoir de vastes effets pour les entreprises (sous-traitants) impliquées dans les livraisons de services cloud et leur capacité à développer leurs services et à être compétitives sur le marché mondial ».
Ils ajoutent que ces obligations « sont difficiles à mettre en œuvre et à auditer, ce qui entraîne des coûts élevés et affecte la concurrence. Il pourrait en résulter une restriction de la concurrence à un plus petit bassin de fournisseurs ». Selon eux, l’économie européenne risque ainsi de restreindre le choix et la qualité des offres cloud.
Pour la Chambre de Commerce américaine, les exigences de ‘souveraineté’ sapent la cybersécurité et nuisent aux liens transatlantiques : « Sous couvert de promouvoir la soi-disant ‘souveraineté numérique’ de l’Europe, plusieurs exigences proposées (par exemple, certifier uniquement les entreprises ayant un siège mondial dans l’UE) sont politiquement motivées plutôt que fondées sur des normes techniques solides, des principes fondamentaux de cybersécurité et sur les meilleures pratiques », regrette-t-elle. « Ils sont conçus pour siphonner les opportunités commerciales des entreprises américaines et internationales au profit des champions européens. »
Selon elle, l’exclusion des fournisseurs de solutions cloud américains dans les secteurs clés de l’économie européenne aurait des répercussions négatives en cascade sur les entreprises et les consommateurs qui dépendent de leurs technologies de pointe : « Ironiquement, la compétitivité et la cybersécurité européennes seraient considérablement compromises si ces propositions étaient adoptées », prévient-elle. « Cela imposerait des limites importantes à la quantité et à la qualité des fournisseurs disponibles pour répondre aux besoins opérationnels des gouvernements, des entreprises et des clients. »