Aller au contenu
NNextHop
Comprendre

EUCS, la certification cloud européenne en gestation.

Préparé depuis 2020 par l'ENISA, l'European Cybersecurity Certification Scheme for Cloud Services doit harmoniser la certification cybersécurité des services cloud dans l'UE. Trois niveaux, un débat politique vif sur la souveraineté, et un calendrier encore incertain.

L'essentiel

L'EUCS, pour European Cybersecurity Certification Scheme for Cloud Services, est le schéma européen de certification cybersécurité des services cloud, préparé par l'ENISA depuis 2020.
Il découle du Cybersecurity Act (Règlement UE 2019/881) qui institue un cadre commun de certifications de cybersécurité à l'échelle de l'Union.
Le schéma définit trois niveaux d'assurance, Basic, Substantial et High, le niveau High étant celui qui intéresse les opérateurs sensibles et les administrations.
L'adoption finale a fait l'objet de débats prolongés sur l'inclusion ou non d'exigences de souveraineté (contrôle capitalistique, immunité extraterritoriale), qui ont retardé le calendrier initial.

Définition

Qu'est-ce que l'EUCS ?

L'EUCS, pour European Cybersecurity Certification Scheme for Cloud Services, est un schéma européen de certification cybersécurité spécifiquement destiné aux services cloud. Il est préparé par l'ENISA, l'agence européenne pour la cybersécurité, en application du Cybersecurity Act adopté en 2019.

Le schéma propose trois niveaux d'assurance graduels. Basic et Substantial reposent sur des critères techniques et organisationnels classiques, alignés sur ISO 27001 et ISO 27017. Le niveau High vise les services les plus sensibles et fait l'objet de discussions politiques approfondies depuis 2021.

Le coeur du débat porte sur l'inclusion ou non, dans le niveau High, d'exigences dites de souveraineté : contrôle capitalistique européen, immunité aux injonctions extraterritoriales, localisation stricte des données. Les positions des États membres divergent, ce qui explique le décalage du calendrier d'adoption.

Contexte historique

Du Cybersecurity Act aux arbitrages politiques

Avril 2019Entrée en vigueur du Cybersecurity Act (Règlement UE 2019/881) qui mandate l'ENISA pour préparer des schémas européens de certification.
Décembre 2020L'ENISA publie une première proposition de schéma EUCS, structurée en trois niveaux Basic, Substantial et High.
2021-2022Plusieurs versions de travail sont publiées. La discussion porte notamment sur les exigences de souveraineté du niveau High : immunité extraterritoriale et contrôle capitalistique.
2023Une nouvelle version retire ou allège les exigences de souveraineté les plus strictes, ce qui suscite une opposition publique de l'ANSSI, de la CNIL et de plusieurs États membres.
2024La Commission européenne et l'ENISA poursuivent les arbitrages politiques. Le calendrier d'adoption est repoussé pour permettre un consensus sur le niveau High.
2025-2026Discussions de dernière ligne droite. Plusieurs États militent pour que l'EUCS High intègre des exigences alignées sur SecNumCloud, d'autres s'y opposent pour préserver l'attractivité du marché.

Impact concret

Ce que l'EUCS changera, ou non

Six effets attendus pour les organisations européennes, sous réserve de l'adoption finale du texte.

Trois niveaux d'assurance

Basic correspond à une assurance de base, Substantial à un niveau renforcé et High à une assurance élevée. Les critères techniques sont issus de standards existants (ISO 27001, ISO 27017, ENS, ENISA Cloud Computing Risk Assessment).

Articulation avec les référentiels nationaux

Une fois adopté, l'EUCS coexistera avec les référentiels nationaux (SecNumCloud en France, BSI C5 en Allemagne, ENS au Portugal et en Espagne). Le mécanisme de reconnaissance mutuelle reste à stabiliser.

Enjeu de souveraineté sur le niveau High

La principale controverse porte sur la présence ou l'absence, au niveau High, d'exigences de localisation des données et d'immunité aux lois extraterritoriales. Les positions des États membres restent divergentes.

Impact commande publique

Si le niveau High inclut des exigences souveraines, l'EUCS deviendra un outil structurant pour les marchés publics européens. Sinon, son adoption sera plus large mais sa portée souveraine plus faible.

Coût de mise en conformité

Pour les fournisseurs, viser le niveau High implique un effort important de documentation, d'audit et de gouvernance. Le retour sur investissement dépend de la reconnaissance effective dans les appels d'offres publics et régulés.

Calendrier flou

L'adoption formelle a été repoussée à plusieurs reprises depuis 2022. À la date de cette page, le schéma n'est pas encore en vigueur, mais les fournisseurs préparent déjà leur dossier en s'appuyant sur les versions de travail.

Idées reçues

Trois confusions fréquentes

L'EUCS est déjà en vigueur.
L'EUCS n'est pas encore adopté. Plusieurs versions de travail ont circulé depuis 2020 mais le texte final est toujours en discussion entre l'ENISA, la Commission et les États membres.
EUCS High remplacera SecNumCloud.
L'EUCS coexistera avec les référentiels nationaux selon des modalités encore en discussion. Tant que le niveau High n'inclut pas l'ensemble des exigences SecNumCloud, la qualification française restera utile pour les données sensibles.
Les hyperscalers obtiendront mécaniquement le niveau High.
Si le texte final maintient des exigences de souveraineté au niveau High, leur accès sera conditionné à des structures juridiques spécifiques. Si ces exigences sont retirées, l'accès sera plus ouvert, mais la valeur souveraine du label en sera affaiblie.

Sur NextHop

Suivre l'évolution du paysage