SecNumCloud en France, ESCloud en Europe : pourquoi deux labels pour le cloud de confiance ? Ainsi avions-nous réagi, fin 2016, après l’officialisation du second, sous l’égide du couple franco-allemand. L’initiative avait jeté d’autant plus de confusion que l’ANSSI venait de publier le premier.
Guillaume Poupard, le directeur général de l’agence, avait évoqué « un pas pragmatique vers une démarche européenne ». Avec une ligne directrice : simplifier la tâche des fournisseurs pour l’obtention des labels. Sauf que dans la pratique, ESCloud n’incluait pas de reconnaissance mutuelle automatique : une certification d’un côté du Rhin (SecNumCloud en France, C5 en Allemagne) n’entraînait pas – sauf démarches complémentaires – l’obtention d’une équivalence de l’autre côté.
ESCloud est aujourd’hui arrêté, comme l’a notamment fait remarquer le Clusif dans son panorama des référentiels de sécurité cloud. Désormais, on travaille sur l’EUCS, « Système européen de certification de la cybersécurité pour les services cloud ». En tête de pont, l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information), à laquelle le Cybersecurity Act de 2019 confie cette mission.
La version d’EUCS actuellement accessible est le brouillon que l’ENISA avait soumis à consultation publique fin 2020. L’agence est censée transmettre sa contribution formelle à la Commission européenne au plus tard cet été.
En attendant, la France et l’Allemagne ont signé un accord de reconnaissance mutuelle sur un autre plan. En l’occurrence, celui des certificats de sécurité pour les schémas CSPN (Certification de sécurité de premier niveau) et BSZ (Beschleunigte Sicherheitszertifizierung).
Cette reconnaissance mutuelle CSPN-BSZ vaut pour les certificats actuels et futurs, sous réserve d’éventuelles régulations nationales spécifiques à certains. Elle préfigure une norme en cours de développement : l’EN 17640, dite FITCEM (Fixed-Time Cybersecurity Evaluation Method ; méthode d’évaluation de la cybersécurité pour produits TIC). Publication prévue fin 2022.
Photo d’illustration © Bildagentur Zoonar GmbH – Shutterstock
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…