SecNumCloud : soluble dans une future certification européenne ?
Décidément rien n'est jamais simple dans le cloud français. Après les fiascos Numergy, cloudwatt et récemment la fermeture du cloud Flexible Engine, c'est maintenant au tour du SecNumSpot de poser question.
SecNumCloud existe depuis 8 ans et doit permettre de proposer des fournisseurs certifiés avec des critères clairs et stricts sur la sécurité et l'infrastructure. Si la démarche est louable, SecNumCloud a un léger problème :
- approche franco-française
- pas d'approche européenne autour du SecNumCloud
- l'arrivée d'une future certification : EUCS
Au niveau européen, SecNumCloud n'intéresse pas. Et c'est pour cela que tous les acteurs regardent sur la certification des services cloud (EUCS). Cette certification européenne sera de facto la référence pour l'ensemble de l'Europe... Et le niveau d'exigence n'est pas aussi élevé que la proposition française sur les lois extraterritoriales, dans sa rédaction actuelle. Un élément clé heurte les acteurs français : les lois d'un autre tiers s'appliquent et peuvent demander d'accéder aux données. On pense aux lois américaines mais pas que.
En juillet, la CNIL disait : "La possibilité de s’assurer, pour ces traitements les plus sensibles, que l’hébergeur des données n’est pas soumis à une législation extra-européenne ne figure plus dans le projet de certification européenne de cybersécurité du cloud EUCS piloté par l’Agence de l’Union européenne pour la cybersécurité (ENISA), même dans les niveaux de certification les plus élevés, et même à titre optionnel.
Par ailleurs, l’absence de niveau incluant des critères « d’immunité » pose problème sur le plan juridique, économique, technologique et industriel :
- Elle ne permet pas de stimuler l’offre européenne en matière de cloud, qui constitue le moyen technique de répondre aux besoins de développement et déploiement des systèmes d’intelligence artificielle. Elle n’offre pas non plus les moyens de faciliter l’accès à la commande publique pour les offreurs européens, là où les acteurs dominants actuels en ont pleinement bénéficié dans leur pays d’origine (en particulier via le programme FedRAMP aux États-Unis).
- Elle ne permet pas aux acteurs publics et privés de s’appuyer sur la certification EUCS pour externaliser dans le cloud leurs projets les plus sensibles, à l’image de ce que prévoit la doctrine « Cloud au centre » de l’État français pour les administrations. Celle-ci demande en effet aux autorités publiques de s’assurer que les données « d’une sensibilité particulière » hébergées dans le cloud ne soient pas soumises à des lois extra-européennes pouvant impliquer des injonctions de communication."
Quelle serait la conséquence la plus directe de l'EUCS ? La fin annoncée de SecNumCloud qui n'aurait alors "aucun" intérêt car reconnu uniquement en France. Que l'EUCS inclut ou non des critères plus élevés, SecNumCloud semble purement et simplement condamné à disparaitre.