Pour gérer vos consentements :
Categories: CloudCybersécurité

Après l’échec d’ESCloud, France et Allemagne s’accordent sur la CSPN

SecNumCloud en France, ESCloud en Europe : pourquoi deux labels pour le cloud de confiance ? Ainsi avions-nous réagi, fin 2016, après l’officialisation du second, sous l’égide du couple franco-allemand. L’initiative avait jeté d’autant plus de confusion que l’ANSSI venait de publier le premier.

Guillaume Poupard, le directeur général de l’agence, avait évoqué « un pas pragmatique vers une démarche européenne ». Avec une ligne directrice : simplifier la tâche des fournisseurs pour l’obtention des labels. Sauf que dans la pratique, ESCloud n’incluait pas de reconnaissance mutuelle automatique : une certification d’un côté du Rhin (SecNumCloud en France, C5 en Allemagne) n’entraînait pas – sauf démarches complémentaires – l’obtention d’une équivalence de l’autre côté.

ESCloud est aujourd’hui arrêté, comme l’a notamment fait remarquer le Clusif dans son panorama des référentiels de sécurité cloud. Désormais, on travaille sur l’EUCS, « Système européen de certification de la cybersécurité pour les services cloud ». En tête de pont, l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information), à laquelle le Cybersecurity Act de 2019 confie cette mission.

La version d’EUCS actuellement accessible est le brouillon que l’ENISA avait soumis à consultation publique fin 2020. L’agence est censée transmettre sa contribution formelle à la Commission européenne au plus tard cet été.

En attendant, la France et l’Allemagne ont signé un accord de reconnaissance mutuelle sur un autre plan. En l’occurrence, celui des certificats de sécurité pour les schémas CSPN (Certification de sécurité de premier niveau) et BSZ (Beschleunigte Sicherheitszertifizierung).

Cette reconnaissance mutuelle CSPN-BSZ vaut pour les certificats actuels et futurs, sous réserve d’éventuelles régulations nationales spécifiques à certains. Elle préfigure une norme en cours de développement : l’EN 17640, dite FITCEM (Fixed-Time Cybersecurity Evaluation Method ; méthode d’évaluation de la cybersécurité pour produits TIC). Publication prévue fin 2022.

Photo d’illustration © Bildagentur Zoonar GmbH – Shutterstock

Recent Posts

ESN : DXC cherche (encore) à se vendre

DXC Technology confirme des discussions avec un "sponsor financier". La société de capital-investissement BPEA serait…

10 heures ago

Cybersécurité : pourquoi Pradeo s’offre la start-up rennaise Yagaan

En prenant le contrôle de Yagaan, Pradeo dit engager la consolidation entre acteurs français de…

13 heures ago

6 casques VR pour le métavers d’entreprise

Quelles portes d'entrée dans les métavers B2B ? Côté casques, voici six modèles d'autant de…

13 heures ago

ESN 2022 : le top 10 en France

L'année 2021 est marquée par une croissance de 12 % pour les ESN et ICT,…

14 heures ago

OpenStack assouplit sa politique de saut de version

OpenStack va simplifier le basculement entre des versions majeures non consécutives, avec les mêmes garanties…

17 heures ago

5 scale-up françaises de cybersécurité à retenir

De Ledger à HarfangLab, des entreprises et start-up françaises de sécurité cyber et protection de…

1 jour ago