Not high enough
La cybersécurité européenne passera par la très attendue directive EUCS. Elle aura pour mission de planter un cadre commun et les bases pour un marché numérique unique sécurisé. Problème, ce schéma est décrié par plusieurs pays, dont la France. La CNIL avait pointé plusieurs problèmes en juillet. La Commission Supérieure du Numérique et des Postes et le Cigref lui emboitent le pas.
Face à l’explosion du cloud et des cas d’usage, l’Europe travaille depuis longtemps un schéma commun. Il doit assurer un cadre définissant la cybersécurité par paliers, permettant notamment de réserver certains usages aux plus élevés. Toutes les données sont concernées, aussi bien personnelles que les autres, dans tous les degrés de sensibilité.
L’European Union Cybersecurity Scheme for Cloud Services, ou EUCS, est la concrétisation de ce travail de règlementation. À terme, il supplantera les règlementations nationales, dont SecNumCloud en France, créé par l’ANSSI. Trois niveaux de sécurité sont proposés : Basic, Substantial et High. Très logiquement, plus on grimpe dans les niveaux, plus les exigences sont grandes.
Cependant, dans une version précédente du texte, un quatrième niveau était présent. Nommé High+, il reprenait dans les grandes lignes la version 3.2 de SecNumCloud. Avec, en son sein, une exigence spécifique : l’imperméabilité aux lois extraterritoriales. C’est ce point qui fait débat depuis.
L’immunité extraterritoriale au cœur de la polémique
La version 3.2 du label SecNumCloud intègre les conclusions de l’arrêt Schrems II de la Cour de justice européenne. Ainsi, pour qu’une structure prétende au précieux sésame, elle ne doit s’adresser qu’à des prestataires européens. Ceci, pour éviter que les lois d’autres pays entrent en jeu.
Sans les nommer directement, les États-Unis sont le premier exemple. La Section 702 de la loi FISA et d’autres textes permettent au renseignement de piocher dans les données détenues par les entreprises de nationalité américaine. Et ce, quel que soit l’emplacement de leurs serveurs. Un effacement des frontières géographiques contre lequel s’était notamment battu Microsoft. Sans succès.
À l’échelle européenne, l’essence de SecNumCloud 3.2 s’est retrouvée dans le niveau High+. Ce dernier a provoqué cependant de nombreux soubresauts géopolitiques. Et pour cause : des critères techniques et juridiques d’immunité des services cloud aux législations non européennes et à portée extraterritoriale ont été pris comme une mesure ciblée par les États-Unis.
Réaction virulente aux États-Unis
L’objectif européen était d’assurer que la sécurité la plus élevée s’accompagnait d’une garantie contre ces lois extraterritoriales. L’année dernière cependant, la Computer & Communications Industry Association (CCIA) et la Business Software Alliance (BSA), deux lobbys américains, s’en sont pris au niveau High+.
« EUCS fait partie d’un effort concerté plus large de l’Europe pour mettre en œuvre un programme de « souveraineté numérique » qui cherche à désavantager les entreprises américaines au profit d’alternatives locales, menaçant potentiellement les intérêts économiques et de sécurité nationale des États-Unis », pouvait-on ainsi lire dans un courrier envoyé à plusieurs membres du gouvernement de Joe Biden en mai de l’année dernière.
Quelques mois plus tard, Antony Blinken, le secrétaire d’État (en charge des Affaires étrangères) envoie lui-même un courrier à la présidente de la Commission européenne, Ursula von der Leyen. Celle-ci était prévenue : intégrer le niveau High+ allait conduire à une détérioration des relations entre les États-Unis et l’Union européenne, aussi bien sur l’économie que la sécurité.
On connait la suite : début 2024, l’ENISA (Agence de l’Union européenne pour la cybersécurité) publie une nouvelle version d’EUCS. Le niveau High+ disparait et le concert des critiques commence. Il y a deux mois, c’était notamment au tour de la CNIL, qui évoquait tout particulièrement le cas des données sensibles.
La CSNP rejoint la CNIL
La Commission Supérieure du Numérique et des Postes n’en pense pas moins. Dans un avis publié le 4 septembre, elle rejoint pleinement la CNIL dans ses conclusions.
On retrouve bien la disparition de la protection la plus élevée pour les données sensibles. Autre danger, l’absence de stimulation de l’offre européenne qui, dans le cadre d’EUCS, aurait pu s’épanouir d’autant plus rapidement que la demande aurait grimpé en flèche. Impossible également pour les acteurs publics ou privés d’héberger dans le cloud leurs données les plus sensibles. Quand on sait que 70 % du marché du cloud en Europe appartient à trois acteurs américains (Amazon, Microsoft et Google), on comprend la marge de progression.
La CSNP évoque un autre « risque majeur » : « la différence d’interprétation des principes de proportionnalité et de nécessité entre l’Union européenne et les États-Unis ». Cette question est bien centrale dans le Data Privacy Framework, mais seulement pour les données personnelles. En outre, en Europe, « les droits individuels priment ». Aux États-Unis, « la sécurité nationale occupe une place prépondérante ».
Danger aussi pour la loi SREN
EUCS, avec ou sans niveau High+, remplacera tôt ou tard SecNumCloud. Si le niveau est finalement réintégré, tout devrait continuer en France selon la trajectoire prévue. Avec comme bénéfice que les services certifiés SecNumCloud devraient obtenir très rapidement leur label High+. Si sa disparition est actée en revanche, il y aura de nombreuses conséquences.
Le label SecNumCloud pourrait disparaître. Son imperméabilité aux lois extraterritoriales pourrait être attaquée, car jugée trop restrictive et discriminante, face à un cadre juridique commun. SecNumCloud pourrait ainsi pécher par zèle. Interrogé sur ce point, l’ANSSI, nous a simplement indiqué « n’avoir aucun élément à partager ».
Comme l’indique en outre la CSNP, « l’État français se trouverait démuni » dans la mise en œuvre de sa stratégie « cloud au centre ». Tout comme la loi SREN d’ailleurs, qui vise à réguler l’espace numérique, en exigeant notamment un niveau de sécurité très élevé pour certaines données. Ce serait le cas par exemple des données de santé, ce qui faisait dire au député Philippe Latombe que le sort du Health Data Hub (qui stocke les données dans Azure de Microsoft) était très incertain.
Notez qu’en cas de réintégration de High+ dans EUCS, plusieurs pays d’Europe feront grise mine, dont l’Allemagne. Pour la Commission, les opposants au niveau High+ peuvent être regroupés en deux catégories. D’un côté, une sensibilité aux menaces américaines et la perte de sécurité qui pourrait en découler. De l’autre, une activité économique très dépendante du marché américain. C’est le cas de l’Allemagne.
La CSNP demande au gouvernement d’agir
Sans surprise, la CSNP met en avant SecNumCloud et souhaite la réintégration du niveau High+ dans le projet EUCS. Pour la Commission, il s’agit d’un « enjeu essentiel d’autonomie technologique pour l’Union européenne, la condition de l’émergence d’une industrie européenne des services cloud, et une impérieuse nécessité pour protéger les données sensibles et stratégiques, à caractère personnel ou non, des organismes publics et privés qui ont besoin de préserver leur patrimoine informationnel contre les ingérences étrangères ».
Elle recommande plusieurs actions au gouvernement, notamment de communiquer ouvertement sur l’état des négociations et de préciser sa position. La CSNP l’invite à se rapprocher des pays membres de l’Union contre le niveau High+ pour qu’ils s’expliquent sur leurs raisons. Elle souhaite également que le gouvernement fasse « le nécessaire auprès de la Commission européenne pour qu’elle sursoie à toute décision d’adoption de la version actuelle du schéma de certification », le temps qu’une analyse approfondie soit menée, en particulier sur les conséquences géopolitiques d’un abandon du niveau High+.
Le Cigref emboite le pas
Sans trop de surprise non plus, le Cigref – qui regroupe les DSI de nombreuses entreprises et administrations – est d’accord avec la Commission supérieure, dont elle loue « la position claire et argumentée ».
Le Cigref rappelle une nouvelle fois « le besoin de disposer d’un schéma de certification, à valeur légale, et mis en œuvre de manière homogène au sein de l’Union européenne ». L’association avait déjà fait valoir son point de vue en avril dernier, au sein d’un courrier adressé à Ursula von der Leyen. Nous nous en étions faits l’écho, tout comme de la critique de Guillaume Poupard, ancien directeur de l’ANSSI et aujourd’hui directeur général adjoint de Docaposte.