Le Cigref qui représente les DSI des grandes organisations de travail en France, interpelle l’Union Européenne sur ce qu’il nomme un « haut niveau d’assurance » pour les utilisateurs professionnels. La demande du Cigref et ses associés s’adresse à leurs représentants européens et nationaux qui participent à l’élaboration de règlements et de certification. Les grands utilisateurs professionnels plaident en faveur d’un cadre réglementaire protecteur et précis de leurs données sensibles non personnelles.
En clair, les solutions techniques à la disposition des entreprises et autres utilisateurs ne répondent pas aux réglementations européennes de sécurité et de confidentialité auxquelles elles doivent se conformer. A ce jour, toutes les administrations publiques et les fournisseurs de services vitaux se doivent d’utiliser des services cloud ayant un niveau élevé d’assurance pour leurs données sensibles. Le Cigref et associés réclament un délai pour se conformer aux exigences légales en matière de sécurité.
Ces demandes visent à garantir l’intégrité du marché numérique de l’UE, à renforcer les niveaux de sécurité du cloud, à clarifier les spécifications des exigences auxquelles les fournisseurs doivent se conformer et enfin, de permettre aux entreprise et organismes publics d’être en conformité avec la loi, y compris NIS2 et RGPD.
Le projet de cloud souverain européen Gaia-X reste flou et incertain
Les requêtes des représentants professionnels des grands utilisateurs du cloud mettent en relief le retard et les contours flous du projet de cloud souverain européen Gaia-X, présenté en 2020 comme le premier pas vers une infrastructure européenne du cloud de confiance. Aujourd’hui, ses objectifs semblent plus techniques que politiques.De plus, les diverses initiatives récentes des fournisseurs montrent que la souveraineté est un objectif de plus en plus lointain. Ainsi, Amazon Web Services (AWS), le service cloud d’Amazon a engagé un partenariat avec Atos. BLEU est une alliance entre Capgemini, Orange et Microsoft. D’autre part, Google Cloud s’est associé à Thalès pour créer S3NS.
La certification Sécurité numérique du cloud (SecNumCloud) de l’agence nationale de sécurité des systèmes d’information (Anssi) suffira-t-elle à rétablir la confiance ? On peut en douter.
La souveraineté numérique européenne semble bien compromise, surtout face aux puissants principes d’extraterritorialité des Etats-Unis sous-tendus par le Cloud Act. Ce règlement leur permet d’accéder aux données détenues par des entreprises américaines partout dans le monde, au nom des intérêts nationaux. Mais aussi de demander aux hyperscalers de cloud Amazon, Google et Microsoft de leur communiquer toutes informations relatives à la sécurité et aux enjeux économiques des Etats-Unis. Un énorme pouvoir face auquel l’UE parait bien impuissante.