Aller au contenu
NNextHop
Comprendre

EUCS, la certification cloud europeenne en gestation.

Prepare depuis 2020 par l'ENISA, l'European Cybersecurity Certification Scheme for Cloud Services doit harmoniser la certification cybersecurite des services cloud dans l'UE. Trois niveaux, un debat politique vif sur la souverainete, et un calendrier encore incertain.

L'essentiel

L'EUCS, pour European Cybersecurity Certification Scheme for Cloud Services, est le schema europeen de certification cybersecurite des services cloud, prepare par l'ENISA depuis 2020.
Il decoule du Cybersecurity Act (Reglement UE 2019/881) qui institue un cadre commun de certifications de cybersecurite a l'echelle de l'Union.
Le schema definit trois niveaux d'assurance, Basic, Substantial et High, le niveau High etant celui qui interesse les operateurs sensibles et les administrations.
L'adoption finale a fait l'objet de debats prolonges sur l'inclusion ou non d'exigences de souverainete (controle capitalistique, immunite extraterritoriale), qui ont retarde le calendrier initial.

Definition

Qu'est-ce que l'EUCS ?

L'EUCS, pour European Cybersecurity Certification Scheme for Cloud Services, est un schema europeen de certification cybersecurite specifiquement destine aux services cloud. Il est prepare par l'ENISA, l'agence europeenne pour la cybersecurite, en application du Cybersecurity Act adopte en 2019.

Le schema propose trois niveaux d'assurance graduels. Basic et Substantial reposent sur des criteres techniques et organisationnels classiques, alignes sur ISO 27001 et ISO 27017. Le niveau High vise les services les plus sensibles et fait l'objet de discussions politiques approfondies depuis 2021.

Le coeur du debat porte sur l'inclusion ou non, dans le niveau High, d'exigences dites de souverainete : controle capitalistique europeen, immunite aux injonctions extraterritoriales, localisation stricte des donnees. Les positions des Etats membres divergent, ce qui explique le decalage du calendrier d'adoption.

Contexte historique

Du Cybersecurity Act aux arbitrages politiques

Avril 2019Entree en vigueur du Cybersecurity Act (Reglement UE 2019/881) qui mandate l'ENISA pour preparer des schemas europeens de certification.
Decembre 2020L'ENISA publie une premiere proposition de schema EUCS, structuree en trois niveaux Basic, Substantial et High.
2021-2022Plusieurs versions de travail sont publiees. La discussion porte notamment sur les exigences de souverainete du niveau High : immunite extraterritoriale et controle capitalistique.
2023Une nouvelle version retire ou allege les exigences de souverainete les plus strictes, ce qui suscite une opposition publique de l'ANSSI, de la CNIL et de plusieurs Etats membres.
2024La Commission europeenne et l'ENISA poursuivent les arbitrages politiques. Le calendrier d'adoption est repousse pour permettre un consensus sur le niveau High.
2025-2026Discussions de derniere ligne droite. Plusieurs Etats militent pour que l'EUCS High integre des exigences alignees sur SecNumCloud, d'autres s'y opposent pour preserver l'attractivite du marche.

Impact concret

Ce que l'EUCS changera, ou non

Six effets attendus pour les organisations europeennes, sous reserve de l'adoption finale du texte.

Trois niveaux d'assurance

Basic correspond a une assurance de base, Substantial a un niveau renforce et High a une assurance elevee. Les criteres techniques sont issus de standards existants (ISO 27001, ISO 27017, ENS, ENISA Cloud Computing Risk Assessment).

Articulation avec les referentiels nationaux

Une fois adopte, l'EUCS coexistera avec les referentiels nationaux (SecNumCloud en France, BSI C5 en Allemagne, ENS au Portugal et en Espagne). Le mecanisme de reconnaissance mutuelle reste a stabiliser.

Enjeu de souverainete sur le niveau High

La principale controverse porte sur la presence ou l'absence, au niveau High, d'exigences de localisation des donnees et d'immunite aux lois extraterritoriales. Les positions des Etats membres restent divergentes.

Impact commande publique

Si le niveau High inclut des exigences souveraines, l'EUCS deviendra un outil structurant pour les marches publics europeens. Sinon, son adoption sera plus large mais sa portee souveraine plus faible.

Cout de mise en conformite

Pour les fournisseurs, viser le niveau High implique un effort important de documentation, d'audit et de gouvernance. Le retour sur investissement depend de la reconnaissance effective dans les appels d'offres publics et regules.

Calendrier flou

L'adoption formelle a ete repoussee a plusieurs reprises depuis 2022. A la date de cette page, le schema n'est pas encore en vigueur, mais les fournisseurs preparent deja leur dossier en s'appuyant sur les versions de travail.

Idees recues

Trois confusions frequentes

L'EUCS est deja en vigueur.
L'EUCS n'est pas encore adopte. Plusieurs versions de travail ont circule depuis 2020 mais le texte final est toujours en discussion entre l'ENISA, la Commission et les Etats membres.
EUCS High remplacera SecNumCloud.
L'EUCS coexistera avec les referentiels nationaux selon des modalites encore en discussion. Tant que le niveau High n'inclut pas l'ensemble des exigences SecNumCloud, la qualification francaise restera utile pour les donnees sensibles.
Les hyperscalers obtiendront mecaniquement le niveau High.
Si le texte final maintient des exigences de souverainete au niveau High, leur acces sera conditionne a des structures juridiques specifiques. Si ces exigences sont retirees, l'acces sera plus ouvert, mais la valeur souveraine du label en sera affaiblie.

Sources et references

Pour aller plus loin

ENISA, page consacree a l'EUCS (enisa.europa.eu)
Reglement (UE) 2019/881 sur la cybersecurite (Cybersecurity Act), texte consolide (eur-lex.europa.eu)
ANSSI, communiques sur l'EUCS et le maintien d'exigences de souverainete (cyber.gouv.fr)
Commission europeenne, page Cybersecurite et certification (digital-strategy.ec.europa.eu)
BSI, referentiel C5 et articulation avec l'EUCS (bsi.bund.de)

Sur NextHop

Suivre l'evolution du paysage

SecNumCloud, le referentiel francaisLa qualification ANSSI inspire largement le debat sur le niveau High de l'EUCS. Comparez les deux perimetres.Observatoire de la souveraineteLe critere certifications integre deja les referentiels SecNumCloud, HDS, ISO et C5. Il integrera l'EUCS des sa publication officielle.CLOUD Act et exigences extraterritorialesL'inclusion ou l'exclusion d'exigences d'immunite extraterritoriale est au coeur du debat EUCS. Decouvrez pourquoi.
Voir l'observatoireLire la methodologie