EUCS : vers un déblocage (enfin) ?
Initié en 2020 à la demande de la Commission européenne, l'european cybersecurity certification scheme for cloud services (EUCS) n'a toujours pas été adopté par les Etats membres de l'Union européenne (UE). Cadre de certification visant à attester du niveau de cybersécurité des services cloud proposés dans l'UE, il fait l'objet d'un "blocage politique", estime le député Philippe Latombe (Modem).
Prévu par le cybersecurity act (CSA) adopté en 2019, la version que propose la France n'est pas soutenue par une partie de l'UE. La France souhaite que l'obtention du niveau le plus élevé de ce schéma (niveau high) soit conditionnée par le respect de ses propres règles SecNumCloud. Celles-ci imposent notamment que le service cloud soit imperméable aux lois extraterritoriales, notamment américaines, afin de protéger les données qu'il héberge. Mais ni l'Allemagne, ni les Pays-Bas ne sont favorables à de telles exigences pour l'EUCS selon le député. Toutefois, "nous avons actuellement les prémices d'un changement de position", observe-t-il.
Un contexte géopolitique favorable
Quand la France a proposé que le niveau high du schéma intègre les règles de sa certification SecNumCloud, "elle a perdu tous ses alliés sur le sujet de l'EUCS", confirme Guillaume Poupard, ancien directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi). "Cependant, elle est en train de reformer des alliances", ajoute celui qui est désormais directeur général adjoint de Docaposte. Cela s'explique par le contexte géopolitique. Depuis l'élection de Donald Trump, les discours vantant la souveraineté européenne en matière de cybersécurité ont le vent en poupe. Et pour cause : "Le scénario qui consiste à imaginer les Etats-Unis taxer lourdement des licences de logiciel en menaçant de bloquer l'usage de leurs solutions numériques existe", selon Alain Bouillé, délégué général du Club des experts de la sécurité de l'information et du numérique.
Résultat, "un certain nombre de pays sont en train de changer de point de vue sur la position française", affirme Philippe Latombe. Et pas des moindres. Selon lui, ce changement proviendrait de l'Allemagne et des Pays-Bas, c'est-à-dire des deux pays qui étaient les plus farouchement opposés à l'intégration des règles SecNumCloud dans l'EUCS : "Le parlement des Pays-Bas a demandé à son gouvernement que l'Etat se dote d'un cloud souverain pour héberger les données critiques des citoyens. Ce cloud souverain ressemble au niveau high de l'EUCS. De leur côté, les allemands commencent à dire que nous n'avions pas tort sur le problème de la dépendance numérique aux Etats-Unis. Par exemple, le chef du gouvernement allemand Friedrich Merz a appelé à plus de souveraineté numérique en Europe et a nommé un ministre du numérique qui a pour feuille de route de limiter la dépendance aux solutions américaines".
Une nouvelle étape juridique à franchir
Il n'est toutefois pas certain que ce changement de fusil d'épaule de la part de certains Etats membres suffise à faire accepter la version française de l'EUCS. Depuis le mois de mars 2025, la Commission européenne a en effet imposé l'idée selon laquelle le CSA doit être révisé pour pouvoir adopter une telle version souveraine selon certains de nos interlocuteurs. Et pour cause, le texte européen mandate l'Agence de l'UE pour la cybersécurité (Enisa) de ne rédiger des schémas qu'à partir de critères techniques. Or, la souveraineté et l'imperméabilité aux lois extraterritoriales ne sont pas considérées par l'Enisa et la Commission européenne comme des exigences techniques expliquent Roland Atoui et Ayman Khalil, managing director et managing partner chez Red Alert Labs, un laboratoire de cybersécurité qui a participé à la rédaction de l'EUCS.
"L'idée de la commission européenne, qui a été trouvée pour procrastiner, est donc de réécrire le cybersecurity act pour que l'EUCS puisse contenir des règles de souveraineté", précise l'ancien directeur général de l'Anssi. "C'est décidé et cela va prendre des mois et des mois", ajoute-t-il. Pour cela, "on prévoit qu'ils vont introduire dans le texte la possibilité de prendre en compte des exigences non techniques pour créer des schémas", explique Roland Atoui. Si cette modification est effectuée, alors l'Enisa pourra intégrer l'exigence d'imperméabilité aux lois extraterritoriales dans le niveau high de l'EUCS. Ensuite, le schéma sera soumis à l'examen de la Commission européenne qui s'assurera de sa conformité avec le CSA. Enfin, il sera soumis au vote des Etats membres à la majorité qualifiée.