Malgré la réunion des experts européens sur la cybersécurité (groupe 'ECCG'), ce mardi 18 juin, le Schéma européen de cyber certification (dit 'EUCS') n'a toujours pas reçu l'approbation nécessaire.
Originellement inscrit comme point à l'agenda de la réunion, il en a finalement été retiré en fin de semaine. En cause, toujours, des dissensions au sujet des critères de souveraineté et de sécurité en matière de 'cloud' (EUROPE 13392/13).
Selon plusieurs sources, la raison de cet énième report viendrait du fait que la Commission européenne doit encore donner des lignes directrices quant à la manière dont chaque État membre peut ou non ajouter ses propres critères au niveau national, notamment de souveraineté.
En effet, le Cybersecurity Act, auquel est lié l'EUCS, indique que, lors de l’adoption de ce dernier, les schémas de sécurité nationaux devraient normalement disparaître.
C'est contre cette disparition que lutte en première ligne la France, qui prônait à l'origine la mise en œuvre d'une version plus stricte de l'EUCS en termes de garanties de sécurité et de souveraineté, équivalentes à son propre système 'SecNumCloud' (EUROPE 13394/9).
Ces garanties ayant été abandonnées, Paris se bat désormais pour obtenir la possibilité de sauvegarder 'SecNumCloud' au niveau national.
La dernière version du texte aurait déjà dû être adoptée le 16 avril dernier, mais a vu son adoption contrariée par l'opposition française. Une prochaine réunion du groupe d'experts devrait se tenir à la mi-juillet.
En parallèle, 26 groupes d'intérêts européens ont publié ce lundi une lettre commune pour appeler les États membres à adopter rapidement l'EUCS.
« La suppression du critère de sécurité juridique et des exigences en matière de protection contre l'accès illégal et les lois extraterritoriales étrangères garantit que les améliorations en matière de sécurité du 'cloud' s'alignent sur les meilleures pratiques de l'industrie et des principes non discriminatoires », ont-ils déclaré.
Voir la lettre : https://aeur.eu/f/cpr (Isalia Stieffatre)