Customize this title in frenchLa « stratégie multi-cloud » de la Commission européenne soulève des questions de cohérence

Make this article seo compatible,Let there be subheadings for the article, be in french, create at least 700 words

Le service cloud américain Oracle a annoncé lundi (30 octobre) que la Commission européenne avait décidé d’inclure les services Oracle Cloud Infrastructure dans ses offres, soulevant des questions de cohérence avec ses projets de sécurité cloud proposés.

L’exécutif européen a sélectionné Oracle Cloud Infrastructure pour un accord-cadre global de six ans qui permet à l’entreprise basée aux États-Unis d’offrir des services cloud aux institutions, organes et agences de l’UE.

« Le cloud est une question de souveraineté numérique et industrielle », a déclaré le commissaire chargé du marché intérieur, Thierry Breton, début avril, lors du Forum sur la cybersécurité.

Breton a été le fer de lance des efforts français visant à créer une réplique européenne de sa certification de sécurité cloud, SecNumCloud, introduisant des exigences de souveraineté dans les services cloud européens (EUCS).

La décision de la Commission d’inclure l’américain Oracle dans ses offres de services cloud proposées à l’administration européenne semble donc en contradiction avec sa volonté vantée de souveraineté technologique.

Stratégie multi-cloud

Un porte-parole de la Commission a déclaré à Euractiv que « la Commission européenne applique une stratégie multi-cloud », expliquant que les institutions, organes et agences de l’UE auront désormais la possibilité « d’organiser des mini-concours répondant à leurs besoins en fournitures informatiques » et de sélectionner ensuite le fournisseur de cloud qu’ils considèrent comme le plus adapté à leurs besoins.

Oracle n’est pas le premier ni le seul fournisseur de services cloud non européen à bénéficier d’un contrat-cadre et, par conséquent, à avoir la possibilité de proposer ses services à l’administration européenne.

Il est toutefois remarquable que ces fournisseurs de cloud étrangers ne puissent pas prétendre au niveau d’assurance le plus élevé de l’EUCS, qui, selon les projets diffusés en mai et août de cette année, exigerait que le fournisseur de services cloud soit « contrôlé » par une entreprise européenne.

Un projet controversé

En d’autres termes, la Commission pourrait fixer des normes plus élevées que celles qu’elle suit.

Bien que l’EUCS soit un système volontaire, il pourrait devenir obligatoire pour les entités considérées comme essentielles à l’économie européenne en vertu de la directive révisée sur les réseaux et les systèmes d’information (NIS2).

Cependant, la tentative de la Commission d’introduire des exigences de souveraineté s’est heurtée à une opposition significative de la part de l’industrie et d’une coalition croissante d’États membres menée par les Pays-Bas.

Suite à la politisation de ce qui était censé être un débat technique, le Parlement européen a également récemment adopté une modification à la loi sur la cybersécurité, la base juridique de l’EUCS, qui permettrait aux députés de voter contre les systèmes de certification de cybersécurité.

L’approche française s’essouffle

Un expert, s’adressant à Euractiv sous couvert d’anonymat, a déclaré que le système français de certification du cloud SecNumCloud perd de son élan dans l’UE.

En effet, l’exigence selon laquelle les actions d’un fournisseur de services cloud ne peuvent pas être détenues par plus de 24 % d’une entreprise dont le siège est en dehors de l’UE est désormais abandonnée dans toute l’Europe, à l’exception de la certification française SecNumCloud.

Ceci est cohérent avec la décision de l’agence allemande de cybersécurité, le BSI, d’accorder la certification C5 à AWS European Sovereign Cloud, une certification de sécurité du cloud basée sur la même norme internationale que SecNumCloud et avec la volonté de la Commission européenne de n’exclure aucun fournisseur du marché. Marché européen.

A l’inverse, les sénateurs français ont tenté une démarche protectionniste en soumettant dans un projet de loi sur la régulation de l’espace numérique l’obligation pour tous les organismes publics de télécharger leurs données uniquement sur des services cloud certifiés SecNumCloud.

La France s’apprête à réglementer le marché du cloud plus que l’UE

Un projet de loi global visant à sécuriser et réguler l’internet en France vise à respecter strictement la nouvelle réglementation européenne du numérique et ira encore plus loin en matière de régulation du cloud.

Elle a ensuite été rejetée par le rapporteur de l’Assemblée nationale, qui a estimé que les clouders certifiés SecNumCloud n’auraient pas eu la capacité de gérer un téléchargement d’une telle quantité de données.

Certains, comme le député centriste français Philippe Latombe ou le militant autrichien pour la protection des données Max Schrems, considèrent les hyperscalers américains – un terme utilisé pour décrire les fournisseurs de services cloud américains aux opérations massives – comme un danger pour les entreprises européennes.

Latombe perçoit un danger potentiel que les entreprises et les autorités américaines puissent accéder aux données des entreprises européennes et donc s’engager dans « l’intelligence économique, récupérer des secrets commerciaux de l’UE et cibler la base industrielle et de connaissances de l’UE », a-t-il déclaré à Euractiv.

Schrems a également exprimé des doutes quant à la possibilité que les États-Unis deviennent « le fournisseur de cloud du monde », car ils considèrent « que les étrangers n’ont pas de droit à la vie privée », critiquant désormais la Commission européenne qui a conclu avec les États-Unis un accord autorisant les données personnelles de l’UE. être transféré aux États-Unis dans le cadre du Data Privacy Framework.

[Edited by Luca Bertuzzi/Nathalie Weatherald]

En savoir plus avec EURACTIV



Source link -57