Créée en 2004, l’agence de l'Union européenne pour la cybersécurité (Enisa) travaille depuis plusieurs années sur une certification de la cybersécurité des services cloud (EUCS). Le fruit de sa réflexion a pris du retard et on comprend pourquoi car elle touche à un point très sensible, le cloud souverain, à l'heure où les grands fournisseurs étrangers tentent à tous les niveaux de montrer patte blanche alors qu'ils sont par essence soumis au très contraignant Cloud Act. Conscients de ce boulet, ils sont nombreux (Microsoft, Google, AWS,...) à embarquer dans le train du cloud souverain et/ou de confiance par tous les moyens. Soit par le biais Gaia-X au niveau européen ou bien au niveau plus local, en France notamment, en créant des structures dédiées en codirection avec des acteurs bien français comme Bleu (Capgemini, Orange avec Microsoft) et S3NS (Thales avec Google).

Mais alors que la décision de l'Enisa tarde, les acteurs français du cloud sentent le vent tourner et craignent que l'institution ne laisse un peu plus de marge de manoeuvre aux fournisseurs étrangers pour se frayer un chemin vers le cloud souverain. Et ils le font savoir en unissant leurs voix dans une lettre ouverte. « Nous ne devons pas céder à la pression de ceux qui tendent à promouvoir leurs propres intérêts économiques au détriment de l'application des lois européennes et de la protection des organisations et des citoyens européens », lance le collectif d'une quarantaine d'acteurs français. Parmi eux, des entreprises de toute taille dont des poids lourds comme OVH et Outscale ou encore Docaposte, mais aussi plus modestes (Atempo, Jamespot, Tehtris, Wallix...).

Déboucher sur des certitudes juridiques

Le projet de l'Enisa actuellement discuté prévoit d'établir trois niveaux d'assurance dont le plus élevé comprend des critères garantissant l'immunité contre les lois extraterritoriales. Le seul en fait aux yeux des signataires à répondre à toutes leurs préoccupations : « nous, utilisateurs et fournisseurs européens de services cloud, sommes convaincus qu'un tel niveau d'assurance est le seul moyen d'atteindre un niveau élevé de cybersécurité et de protection des données, tout en créant la confiance dans les services cloud en Europe », peut-on lire dans cette lettre ouverte. « Nous appelons les États membres, la Commission européenne et l'Enisa à soutenir ces critères. Nous pensons qu'il s'agit d'une occasion unique de démontrer votre engagement à garantir la transparence, la confiance et la sécurité sur le marché européen du cloud et des données. Le choix n'est pas politique: il s'agit de notre avenir ».

A l'unisson, ces derniers réclament une conformité à l'architecture réglementaire applicable dans l'UE au travers d'un projet de schéma, considéré comme le seul moyen d'englober le contrôle et la souveraineté des données, non seulement dans ses dimensions techniques mais aussi juridiques. Mais aussi une réponse aux attentes des utilisateurs européens du cloud en matière de confiance et de sécurité dans le cloud avec à la clé des « certitudes juridiques lorsqu'il s'agit de transfert international de données ou d'utilisation et d'accès à des données hautement sensibles ». Sans oublier l'adoption d'un système de certification unique et harmonisé pour ne pas laisser sur le bord du chemin des acteurs plus modestes : « un système unique limitera les coûts de certification, en particulier pour les fournisseurs et utilisateurs de cloud disposant de peu de ressources humaines et financières » et « contribuera à renforcer la compétitivité en Europe, en donnant accès à tous les marchés grâce à une seule et unique certification, sans avoir à choisir entre plusieurs certifications, toutes basées sur leur propre liste de critères ».