Selon le rapport Mc Kinsey de 2024 sur l’état du cloud computing en Europe, un tiers des entreprises interrogées veulent placer plus de la moitié de leurs workloads dans le cloud. 55 % d’entre elles sont d’ailleurs satisfaites de leurs investissements dans ce domaine.
L’Europe poursuit sa quête vers la souveraineté numérique. Néanmoins, elle se heurte aux disparités entre les normes de sécurité du cloud locales et régionales qui créent une complexité et une concurrence inutiles. Ainsi, la fragmentation des réglementations, telle que SecNum Cloud en France et l’EUCS au niveau de l’UE, non seulement complique la conformité et réduit l’exigence des normes, mais elle amenuise également la capacité de l’Europe à rivaliser en tant que pays d’accueil de l’IA. Pour dissiper ces incertitudes, les fournisseurs de cloud et les entreprises doivent privilégier une approche secure by design, en utilisant les normes qui sont déjà éprouvées, plutôt que de piocher au sein des différentes options existantes.
Élaboré en 2016 et mis en place en 2022, par l’Anssi, le visa de sécurité SecNum Cloud permet d’identifier facilement les services cloud présentant un haut niveau de sécurité et décrit dans les grandes lignes ce qu’est un outil cloud “de confiance”. A ce jour, nous en dénombrons 7, mais 10 nouveaux acteurs souhaitent y figurer, notamment des hyperscalers. Ce label s’adresse aux entités qui hébergent des données sensibles.
Le coût de la concurrence des normes locales et régionales au sein de l’Union européenne
Si SecNum Cloud est une référence française ambitieuse et positive pour la sécurisation et la qualité des services cloud en France, elle se heurte à l’European Union Cybersecurity Certification Scheme for Cloud Services (EUCS) qui exclut les critères d’immunité aux lois extra-européennes, ce qui ouvre la voie aux hyperscalers américains vers un accès décomplexé aux données sensibles.
Après la CNIL, la Commission Supérieure du Numérique et des Postes a également tiré la sonnette d’alarme. La législation européenne ayant toujours eu le dernier mot sur les Etats, les données de nombreuses sociétés ou organismes pourraient être exposées à des mastodontes américains qui possèdent certes un oligopole dans le cloud, mais aussi dans l’intelligence artificielle générative(GenAI). L’EUCS renforcerait donc leur hégémonie dans la data, en leur permettant d’avoir accès à des données non publiques.
Les conflits qui opposent les normes de sécurité autour du cloud comme SecNum Cloud en France et EUCS forcent les entreprises à s’adapter au chevauchement de multiples réglementations.
Cela présente un coût, ralentit l’adoption de nouvelles innovations et renforce le risque que l’Europe ne soit pas en mesure de proposer un cloud souverain et sécurisé.
Afin de démocratiser davantage le cloud et que l’Europe devienne maîtresse de ses données, il paraît primordial qu’elle se dote d’une législation protectrice et unique. Aujourd’hui, comme dans d’autres secteurs (l’agriculture notamment), la présence d’un millefeuille réglementaire freine l’émergence d’une proposition commune et fiable. Sous couvert de réguler le marché des plateformes cloud, l’EUCS doit encore observer quelques réformes, afin de devenir un texte uniforme et transposable à tous les membres de l’UE.
