La « stratégie multi-cloud » de la Commission européenne soulève des interrogations
L'entreprise américaine Oracle a annoncé que la Commission européenne avait décidé d'inclure ses services Oracle Cloud Infrastructure dans ses offres, ce qui soulève des questions en termes de cohérence avec ses propositions de certifications de sécurité cloud.
L’entreprise américaine Oracle a annoncé lundi (30 octobre) que la Commission européenne avait décidé d’inclure ses services Oracle Cloud Infrastructure dans ses offres, ce qui soulève des questions en termes de cohérence avec ses propositions de certifications de sécurité cloud.
L’exécutif européen a autorisé Oracle Cloud Infrastructure à bénéficier d’un accord-cadre de six ans qui permet à l’entreprise américaine d’offrir des services cloud aux institutions, autorités et agences de l’UE.
« Le cloud est une question de souveraineté numérique et industrielle », a déclaré le commissaire au marché intérieur Thierry Breton plus tôt en avril lors du Forum sur la cybersécurité.
M. Breton a été le porte-drapeau de la France dans l’initiative française visant à créer une réplique européenne de sa certification de sécurité cloud (SecNumCloud), en tentant d’introduire les mêmes exigences de souveraineté dans la certification européenne EUCS.
Par conséquent, la décision de la Commission d’inclure l’entreprise américaine Oracle dans ses offres de services cloud, et de les rendre disponibles à toute l’administration de l’UE semble aller à l’encontre de la volonté de souveraineté technologique dont la Commission se targue.
Stratégie multi-cloud
Un porte-parole de la Commission a déclaré à Euractiv que « la Commission européenne applique une stratégie multi-cloud », expliquant que les institutions, autorités et agences de l’UE auront désormais la possibilité de « lancer des mini-compétitions qui répondent à leurs besoins en matière de fournitures informatiques » et de sélectionner ensuite le fournisseur de cloud qu’ils considèrent comme le plus adapté à leurs besoins.
Oracle n’est pas le premier ni le seul fournisseur de services cloud non européen à bénéficier d’un contrat-cadre et, par conséquent, à se voir accorder la possibilité d’offrir ses services à l’administration européenne.
Toutefois, il est notable que ces fournisseurs étrangers de services cloud ne peuvent pas prétendre au niveau d’assurance le plus élevé de l’EUCS, qui, selon les projets techniques de certification diffusés en mai et en août de cette année, exigerait que le fournisseur de services cloud soit « contrôlé » par une société européenne.
Un système controversé
En d’autres termes, la Commission pourrait fixer une norme plus contraignante qu’elle ne se l’applique à elle-même.
Bien que l’EUCS soit une certification volontaire, elle pourrait devenir obligatoire pour les entités considérées comme essentielles pour l’économie européenne dans le cadre de la directive relative à des mesures visant à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (NIS2).
Cependant, la tentative de la Commission d’introduire des exigences de souveraineté s’est heurtée à une opposition significative de la part des acteurs du secteur et d’une coalition croissante d’États membres menée par les Pays-Bas.
Suite à la politisation de ce qui était censé être une discussion technique, le Parlement européen a également adopté récemment une modification de la loi sur la cybersécurité (Cybersecurity Act), la base juridique de l’EUCS, qui permettrait aux députés européens de voter contre les certifications en matière de cybersécurité.
L’approche française en perte de vitesse
Un expert, qui s’est confié à Euractiv sous couvert d’anonymat, a déclaré que le système français de certification du cloud SecNumCloud était en perte de vitesse dans l’UE.
L’exigence selon laquelle les parts d’un fournisseur de services cloud ne peuvent être détenues à plus de 24 % par une société dont le siège social se trouve en dehors de l’UE est désormais abandonnée dans toute l’Europe, sauf pour la certification française SecNumCloud.
Cette décision est cohérente avec la décision de l’agence allemande de cybersécurité, la BSI, d’accorder la certification C5 à l’AWS European Sovereign Cloud, une certification de sécurité cloud basée sur la même norme internationale que SecNumCloud, et avec la volonté de la Commission européenne de n’exclure aucun fournisseur du marché européen.
À l’opposé, les Sénateurs français ont tenté d’adopter une mesure protectionniste en soumettant à un projet de loi sur la régulation de l’espace numérique l’obligation pour tous les organismes publics de ne téléverser leurs données que sur des services de cloud certifiés SecNumCloud.
Cette proposition a ensuite été rejetée par la rapporteure de l’Assemblée nationale, qui a estimé que les services cloud certifiés SecNumCloud n’auraient pas eu la capacité de gérer le versement d’une telle quantité de données.
Certains, comme le député centriste français Philippe Latombe ou l’activiste autrichien Max Schrems, spécialiste de la protection des données, considèrent les « hyperscalers » américains – un terme utilisé pour décrire les fournisseurs américains de services cloud les plus importants – comme un danger pour les entreprises européennes.
M. Latombe trouve dangereux que « nos données industrielles et personnelles soient à la main des Américains, ce qui leur permettra de faire de l’intelligence économique, de récupérer ce qui relève du secret des affaires et d’attaquer notre base industrielle et de connaissance » , a-t-il déclaré à Euractiv.
M. Schrems a également exprimé des doutes quant à la possibilité que les États-Unis deviennent « le fournisseur de services en nuage du monde », car ceux-ci « considèrent que les étrangers n’ont pas de droits au respect de la vie privée », critiquant ainsi la Commission européenne qui a conclu avec les États-Unis un accord autorisant le transfert de données personnelles de l’UE vers les États-Unis dans le cadre du Data Privacy Framework.
