Cloud
EUCS, le va-tout (très) risqué de la France sur le niveau « High+ »
Par La rédaction, publié le 20 mai 2025
La France campe sur son niveau High+, l’Europe freine, et le cloud reste sans cap. En toile de fond : la mainmise américaine et un marché public déserté. Le bras de fer autour du niveau High+ de l’EUCS expose l’impasse des certifications nationales face à l’urgence d’une souveraineté numérique commune tout en fragilisant les protections contre le Cloud Act. Grande voix de l’IT en France et en Europe, Alain Issarni alerte sur un choix binaire absurde : tout ou rien. Pendant ce temps, la dépendance aux hyperscalers américains s’enracine.
De Alain Issarni, Directeur général SCIAM
L’ ENISA (European Network and Information Security Agency) est chargée, depuis 2019, de rédiger un schéma de certification européen des services cloud, l’EUCS (European Union Cybersecurity Certification Scheme for Cloud Services). Celui-ci, composé de trois niveaux (Basic, Substantial, High), se substituera à toute réglementation nationale une fois adopté, remplaçant ainsi pour la France le SecNumCloud par le niveau High EUCS.
Or, la dernière version 3.2 en mars 2022 du référentiel SecNumCloud a introduit de nouvelles exigences juridiques. Selon l’Anssi, ces exigences protègent le fournisseur de services et les données qu’il traite des lois non européennes, telles que le très connu Cloud Act et le non moins redoutable FISA section 702. Dans cette logique, la France avait obtenu l’ajout d’un niveau « High+ » lors des discussions initiales sur l’EUCS, complétant ainsi le niveau High avec des exigences juridiques d’immunité aux lois extra-européennes. Mais ce niveau a disparu dans la dernière version de l’EUCS en mars 2024. Nos partenaires européens ne souhait(ai)ent pas risquer de froisser nos alliés historiques.
La France a alors durci sa position et, en désespoir de cause, défend la stratégie du tout ou rien : ce sera « un EUCS avec le High+ ou pas d’EUCS ». Eh bien, pour le moment, ce n’est rien ; les discussions EUCS sont reportées sine die.
Ce surplace n’est pas tenable. Car à la menace juridique d’accès aux données par les services de renseignements s’ajoute la dépendance stratégique européenne vis-à-vis des acteurs américains. AWS, Microsoft et GCP détiennent plus de 70 % du marché en Europe. Cette dépendance comporte deux risques majeurs : celui de tarifications abusives (comme l’illustre le cas Broadcom/VMware par exemple), et celui de coupure des services (cf les menaces de l’équipe « Trusk » d’une coupure de Starlink en Ukraine).
Dans le contexte géopolitique actuel, l’urgence pour le cloud en Europe est donc de faire émerger des alternatives aux hyperscalers, assurant un bon niveau de sécurité des données et une autonomie numérique.
Tout (EUCS avec High+) = victoire ?
Ni l’EUCS High+ ni le SecNumCloud ne permettent d’atteindre vraiment cette cible. Les opérations de « blanchiment » des GAFAM (comme Bleu et S3ns) sont autorisées par le SecNumCloud, ont été approuvées voire encouragées par l’Anssi et les plus hautes autorités. Pourtant, elles ne protègent ni contre les éventuelles augmentations abusives des tarifs, ni contre les coupures des services « intrumpestives ». Elles sont à l’autonomie numérique de l’Europe ce que les F35 sont à l’autonomie de défense de l’Europe…
Le niveau High+ et le SecNumCloud permettent néanmoins de contenir le risque d’accès illégitime aux données. Mais en oubliant complètement le concept Substantial ! Il n’est pas raisonnable de ne vouloir protéger que les données hyper-critiques visées par le niveau High alors que, selon l’EUCS, le niveau Substantial est censé protéger les « business critical informations (e.g.: confidential business data, e-mail, CRM – customer relation management systems, personal informations) » contre des attaquants dotés de moyens raisonnables ! Ces données ne méritent elles pas également d’être mises à l’abri des regards trop curieux ?
Par ailleurs, le marché du secteur public du SecNumCloud représentait en 2024, selon la Dinum, seulement 20 M€ en France. Sachant à quel point cette qualification est coûteuse et longue à obtenir, comment imaginer que le marché atteignable est de nature à faire émerger des offres riches ? Pire encore, les exemples d’acteurs emblématiques qui s’affranchissent des directives (récemment le ministère de l’Éducation et l’X) ou des décisions gouvernementales (HDH, Health Data Hub) pour aller se réfugier sur des offres soumises au Cloud Act ou FISA, sont des mauvais signaux pour le secteur privé qui, lui, ne sera jamais contraint ni par l’EUCS ni par le SecNumCloud, et donc ne viendra pas spontanément recourir massivement à ces offres (trop pauvres à ses yeux).
Rien (pas d’EUCS) = semi-victoire ?
Ce report de l’harmonisation européenne est-il une bonne nouvelle ? Il pose au moins deux questions. D’abord, en France, on compte moins de dix acteurs qualifiés SecNumCloud, quand en Allemagne il y en a probablement dix fois plus qui ont la certification nationale C5. Les niveaux sont-ils équivalents ? Ne risque-t-on pas de découvrir tardivement que le SecNumCloud serait une surtransposition par anticipation du règlement européen ?
De plus, l’offre Substantial reste sacrifiée alors qu’elle est censée présenter un bon niveau de protection qui devrait couvrir une très grande partie des besoins du cloud et donc représenter le gros du marché.
Une mauvaise bataille est toujours perdue
Il nous faut changer de stratégie. En espérant soit un Schrems 3, du nom de l’avocat autrichien qui a obtenu par deux fois auprès de la CJUE l’annulation des premières décisions d’adéquation du RGPD avec les USA de la Commission européenne, soit le succès du député français Philippe Latombe, qui a déposé un recours contre sa dernière décision d’adéquation.
C’est un levier vers l’autonomie numérique stratégique de l’Europe bien plus prometteur.
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
