Après l’échec d’ESCloud, France et Allemagne s’accordent sur la CSPN

SecNumCloud en France, ESCloud en Europe : pourquoi deux labels pour le cloud de confiance ? Ainsi avions-nous réagi, fin 2016, après l’officialisation du second, sous l’égide du couple franco-allemand. L’initiative avait jeté d’autant plus de confusion que l’ANSSI venait de publier le premier.

Guillaume Poupard, le directeur général de l’agence, avait évoqué « un pas pragmatique vers une démarche européenne ». Avec une ligne directrice : simplifier la tâche des fournisseurs pour l’obtention des labels. Sauf que dans la pratique, ESCloud n’incluait pas de reconnaissance mutuelle automatique : une certification d’un côté du Rhin (SecNumCloud en France, C5 en Allemagne) n’entraînait pas – sauf démarches complémentaires – l’obtention d’une équivalence de l’autre côté.

ESCloud est aujourd’hui arrêté, comme l’a notamment fait remarquer le Clusif dans son panorama des référentiels de sécurité cloud. Désormais, on travaille sur l’EUCS, « Système européen de certification de la cybersécurité pour les services cloud ». En tête de pont, l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information), à laquelle le Cybersecurity Act de 2019 confie cette mission.

La version d’EUCS actuellement accessible est le brouillon que l’ENISA avait soumis à consultation publique fin 2020. L’agence est censée transmettre sa contribution formelle à la Commission européenne au plus tard cet été.

En attendant, la France et l’Allemagne ont signé un accord de reconnaissance mutuelle sur un autre plan. En l’occurrence, celui des certificats de sécurité pour les schémas CSPN (Certification de sécurité de premier niveau) et BSZ (Beschleunigte Sicherheitszertifizierung).

Cette reconnaissance mutuelle CSPN-BSZ vaut pour les certificats actuels et futurs, sous réserve d’éventuelles régulations nationales spécifiques à certains. Elle préfigure une norme en cours de développement : l’EN 17640, dite FITCEM (Fixed-Time Cybersecurity Evaluation Method ; méthode d’évaluation de la cybersécurité pour produits TIC). Publication prévue fin 2022.

Photo d’illustration © Bildagentur Zoonar GmbH – Shutterstock