3DS Outscale, Clever Cloud, Docapost, Oodrive, OVHcloud, Shadow, YesWeHack… la liste des signataires est longue. On y retrouve la plupart des « gros » acteurs français, mais pas tous. Scaleway par exemple est absent.
En cœur, ils rappellent que « l’Agence de l’Union européenne pour la cybersécurité (ENISA) devrait présenter sa recommandation finale pour le système européen de certification de la cybersécurité pour les services en nuage (EUCS) en septembre ». À quelques encablures de la dernière ligne droite, les signataires publient donc une lettre ouverte.
Ils expliquent que « le projet actuellement discuté prévoit d’établir trois niveaux d’assurance, le plus élevé comprenant des critères garantissant l’immunité contre les lois extraterritoriales ».
Ils sont justement « convaincus qu’un tel niveau d’assurance est le seul moyen d’atteindre un niveau élevé de cybersécurité et de protection des données, tout en créant la confiance dans les services cloud en Europe ». Ils appellent ainsi les États membres, la Commission européenne et l’ENISA « à soutenir ces critères ».
Trois raisons sont avancées : « Se conformer à l’architecture réglementaire applicable dans l’Union européenne », « répondre aux attentes des utilisateurs européens du cloud en matière de confiance et de sécurité dans le cloud » et « permettre aux fournisseurs de cloud de relever les défis d’un marché du cloud en hypercroissance ».
Les 34 signataires rappellent que le marché est « actuellement composé d’une constellation de divers acteurs européens de petite et moyenne taille et dominé par trois sociétés basées aux États-Unis (les « hyperscalers ») [sans être cité, on se doute bien qu’il s’agit d’Amazon, Google et Microsoft, ndlr] qui détiennent 70 % du marché européen et captent l’essentiel de sa croissance ».
Cette lettre ouverte arrive alors que les géants américains ont déjà le pied dans la porte du cloud français : Thales avec Google pour S3ns, ainsi que Microsoft avec Orange et Capgemini avec Bleu.
Les acteurs européens demandent donc « un cadre de certification harmonisé » au niveau européen, qui contribuera aux entreprises « à opérer à plus grande échelle dans l’UE, au bénéfice de la concurrence, de l’innovation et, en définitive, des clients européens ».
En effet, « tous les acteurs du cloud, en particulier les plus petits (PME), ne sont pas en mesure de se conformer à une série de certifications différentes et/ou complémentaires », il fait donc jouer la carte de l’union.
Cette uniformisation est déjà en marche à travers le NIS v2 en préparation ainsi que le Cyber Security Act.