L'essentiel
Définition
Qu'est-ce que l'EUCS ?
L'EUCS, pour European Cybersecurity Certification Scheme for Cloud Services, est un schéma européen de certification cybersécurité spécifiquement destiné aux services cloud. Il est préparé par l'ENISA, l'agence européenne pour la cybersécurité, en application du Cybersecurity Act adopté en 2019.
Le schéma propose trois niveaux d'assurance graduels. Basic et Substantial reposent sur des critères techniques et organisationnels classiques, alignés sur ISO 27001 et ISO 27017. Le niveau High vise les services les plus sensibles et fait l'objet de discussions politiques approfondies depuis 2021.
Le coeur du débat porte sur l'inclusion ou non, dans le niveau High, d'exigences dites de souveraineté : contrôle capitalistique européen, immunité aux injonctions extraterritoriales, localisation stricte des données. Les positions des États membres divergent, ce qui explique le décalage du calendrier d'adoption.
Contexte historique
Du Cybersecurity Act aux arbitrages politiques
Impact concret
Ce que l'EUCS changera, ou non
Six effets attendus pour les organisations européennes, sous réserve de l'adoption finale du texte.
Trois niveaux d'assurance
Basic correspond à une assurance de base, Substantial à un niveau renforcé et High à une assurance élevée. Les critères techniques sont issus de standards existants (ISO 27001, ISO 27017, ENS, ENISA Cloud Computing Risk Assessment).
Articulation avec les référentiels nationaux
Une fois adopté, l'EUCS coexistera avec les référentiels nationaux (SecNumCloud en France, BSI C5 en Allemagne, ENS au Portugal et en Espagne). Le mécanisme de reconnaissance mutuelle reste à stabiliser.
Enjeu de souveraineté sur le niveau High
La principale controverse porte sur la présence ou l'absence, au niveau High, d'exigences de localisation des données et d'immunité aux lois extraterritoriales. Les positions des États membres restent divergentes.
Impact commande publique
Si le niveau High inclut des exigences souveraines, l'EUCS deviendra un outil structurant pour les marchés publics européens. Sinon, son adoption sera plus large mais sa portée souveraine plus faible.
Coût de mise en conformité
Pour les fournisseurs, viser le niveau High implique un effort important de documentation, d'audit et de gouvernance. Le retour sur investissement dépend de la reconnaissance effective dans les appels d'offres publics et régulés.
Calendrier flou
L'adoption formelle a été repoussée à plusieurs reprises depuis 2022. À la date de cette page, le schéma n'est pas encore en vigueur, mais les fournisseurs préparent déjà leur dossier en s'appuyant sur les versions de travail.
Idées reçues
Trois confusions fréquentes
Sources et références
Pour aller plus loin
Sur NextHop