3 min

L’Online Trust Coalition (OTC) néerlandaise prend position sur l’EUCS

Aux Pays-Bas, l’OTC (Online Trust Coalition), un partenariat public-privé regroupant 24 organisations néerlandaises, a récemment exprimé, dans une lettre adressée à la Commission européenne, à l’ENISA et au Parlement européen, ses préoccupations concernant le système européen de certification de la cybersécurité pour les services cloud, ou EUCS.

Michiel Steltman

Michiel Steltman est directeur général de la DINL, l'association néerlandaise pour les infrastructures numériques. En sa qualité, il est le porte-parole du secteur. Les membres de la DINL sont des organisations et des entreprises qui fournissent des infrastructures numériques et des services Internet de base tels que la colocalisation, les réseaux, le cloud, l'hébergement et les registres de domaines. Le secteur est également appelé "NL digital mainport" (portail numérique principal des Pays-Bas) et "Digital gateway to Europe" (Portail numérique vers l'Europe). M. Steltman possède un solide bagage technologique et commercial, avec plus de 30 ans d'expérience internationale dans le secteur des technologies de l'information et de l'Internet. Parmi ses autres activités, il est membre du "Forum Standaardisatie" (Forum de normalisation), un organe gouvernemental qui sélectionne les normes obligatoires pour l'ensemble du domaine informatique du gouvernement néerlandais. M. Steltman est également un écrivain, un conférencier et un panéliste fréquent.

Voir tous les articles

Les ambitions et les objectifs de la Commission européenne ne sont pas remis en cause. En effet, il est important de disposer d’un ensemble normalisé et harmonisé de règles de cybersécurité pour les services cloud et les prestataires de services cloud qui fournissent leurs services dans l’UE. Pour les milliers de fournisseurs de services cloud dans l’UE, une norme forte créera de la clarté et des conditions de concurrence équitables et permettra de générer la confiance sur le fait que les données des citoyens de l’UE sont protégées. Des projets tels que Gaia-X bénéficieront grandement d’une telle norme.

Mais, maintenant que l’EUCS est sur le point d’être achevé, des inquiétudes sont apparues. La direction prise par l’ENISA pour l’EUCS s’avère avoir des effets néfastes importants sur le marché européen du cloud. L’OTC a identifié trois risques importants.

Premièrement, l’ENISA a adopté pour l’EUCS une approche fondée sur des règles. Bien que cela puisse sembler être un détail technique, c’est loin d’être le cas. Les systèmes basés sur des règles conviennent bien aux services et produits statiques, mais elles créent des difficultés importantes pour les services cloud, qui, de par leur nature même, évoluent continuellement. Par conséquent, les coûts de conformité d’une approche fondée sur des règles seront énormes. En outre, il y a de nombreuses raisons de croire que le système n’apportera pas l’assurance requise aux clients, aux utilisateurs finaux et aux autorités du cloud. Par ailleurs, une approche obligatoirement fondée sur des règles s’avère incompatible avec d’autres réglementations qui régissent le cloud (telles que DORA, le RGPD, la directive NIS et la future réglementation sur l’IA), car ces dernières exigent toutes une approche de gouvernance fondée sur des principes.
Une deuxième préoccupation concerne l’inclusion dans le système de plusieurs règles garantissant une immunité par rapport au droit non européen, comme le proposent la France, l’Allemagne, l’Italie et l’Espagne. L’OTC souligne qu’il ne s’agit pas d’une question de cybersécurité, mais d’une question juridique qui doit d’abord être résolue par la Commission et le Parlement européen. En outre, étant donné leurs énormes conséquences, de telles règles détaillées ne peuvent être établies avant que l’UE et le Parlement européen n’aient validé qu’il s’agit bien de la stratégie à adopter pour les questions de souveraineté numérique et d’application du RGPD. Troisièmement, l’OTC a demandé à la Commission et au Parlement européen d’examiner de plus près les systèmes nationaux de cybersécurité, car il existe un risque important que de telles exigences (si elles restent en place) créent des obstacles importants à l’expansion des fournisseurs européens de services cloud sur un marché européen ouvert. Cela entraverait la croissance et l’expansion nécessaires des PME européennes spécialisées dans le cloud.

L’OTC propose de renforcer la confiance numérique en adoptant l’approche d’assurance, qui est déjà une bonne pratique courante sur le marché mondial du cloud. Cet objectif peut être atteint en utilisant une approche fondée sur des principes pour toutes les réglementations relatives au cloud (y compris l’EUCS) et en harmonisant les normes d’audit de l’UE, telles que l’ISAE 3402. En outre, l’ENISA doit développer des normes de rapport d’assurance pour les différentes parties prenantes.

Les informations, les positions et les livres blancs de l’OTC peuvent être consultés ici : www.onlinetrustcoalition.nl  https://onlinetrustcoalitie.nl/publicaties/

Partager cet article avec un ami