iStock
Zoom obtient le C5 allemand et l’ENS espagnol, sur fond de tension européenne sur les certifications
Zoom enchaîne les certifications de premier plan. Mais il ne vise a priori pas le SecNumCloud en France. Cette situation est une bonne illustration de l’histoire, qui se joue au niveau européen autour du futur EUCS. Et dont la conclusion risque d’aboutir à une confusion pour les utilisateurs.
Zoom vient de passer deux nouvelles certifications majeures en Europe : une en Allemagne (le C5), l’autre en Espagne (le niveau le plus élevé de l’Esquema Nacional de Seguridad, ou ESN). En décembre, Zoom avait passé l’AgID italien.
Ces trois certifications concrétisent le travail appuyé de l’éditeur pour améliorer sa sécurité et la confidentialité des échanges après les critiques qu’il avait dû essuyer en 2020.
Zoom avait alors successivement permis le chiffrement de bout en bout de ses communications, donné le choix des data centers de routage, et rendu possible la gestion des clefs de chiffrement par les clients.
Autant d’efforts qui ont convaincu les autorités allemandes, espagnoles et italiennes. « Les nouvelles certifications […] garantissent que les solutions évaluées sont conformes à des critères de souveraineté nationaux », se félicite Zoom dans un échange avec LeMagIT.
C5 vs SecNumCloud
Les certifications C5, AgID et ENS de Zoom illustrent bien, en creux, les différences de conceptions entre pays européens de ce qu’est « la souveraineté numérique ».
L’ENS « établit des normes de sécurité qui s’appliquent aux agences gouvernementales, aux organisations publiques et aux fournisseurs [des] services publics espagnols », rappelle Zoom. Idem pour le C5 qui est « une exigence de base dans le cadre d’un processus d’approvisionnement des autorités fédérales », expliquait AWS lors de sa certification.
En France, l’équivalent – qui permet de travailler avec le secteur public – est SecNumCloud. Or depuis depuis sa version 3.2, le référentiel impose que le fournisseur IT qui candidate ne soit soumis à aucun droit extraterritorial, en particulier chinois ou américain.
Concrètement, SecNumCloud impose que le fournisseur ne soit pas détenu à majorité par des capitaux américains. Quant à l’offre, elle doit être hébergée sur une infrastructure sans lien direct avec les États-Unis (et être physiquement en France ou en Europe ne suffit pas à couper le lien légal).
Rien de tel dans le C5 allemand ou dans l’ENS espagnol.
Pour Zoom, être SecNumCloud signifierait par exemple de confier sa visio à un prestataire local pour que celui-ci la gère et la vende (un Zoom by OVHcloud par exemple). Une autre option consisterait à créer une joint-venture détenue majoritairement par un Européen, sur les modèles de Bleu ou de S3NS. À l’heure actuelle, rien ne semble indiquer que Zoom ait décidé de se lancer dans un tel chantier au long cours.
La pomme de discorde de l’EUCS
La « nuance » entre les certifications « souveraines » espagnoles et allemandes d’un côté, et la vision française qui inclut une dimension juridique de l’autre, n’est pas qu’un écart d’appréciation. Avec la volonté d’unifier les certifications au niveau européen au sein d’un référentiel unique (l’EUCS), cette différence devient un différend.
Bruno Le MaireMinistre de l'Économie, des Finances et de la Souveraineté industrielle et numérique
D’un côté, la France souhaite que l’EUCS ait un « niveau 1 » – un niveau de confiance élevé avec des exigences équivalentes à celle de son SecNumCloud. De l’autre, l’Allemagne et des pays d’Europe de l’Est ne souhaitent pas que soit intégrée l’immunité au droit extraterritorial dans le référentiel.
« Il n’est pas question que la justice américaine puisse, au nom du droit américain, récupérer des données qui nous appartiennent sur le sol européen. C’est la position de la France […] D’autres sont plus conciliants », avait ainsi lâché Bruno Lemaire lors de l’inauguration d’un data center d’OVHcloud en septembre 2022, avant de cibler plus précisément ces autres. « Chacun est en train de prendre conscience en Europe – en Allemagne (sic) et ailleurs – de l’importance du principe de souveraineté », espérait-il à l’époque.
La confusion des labels, du pain béni pour les extra-européens
L’espoir est néanmoins en passe d’être déçu. Un lobby de fournisseurs américains, le CCIA Europe (dont ne fait pas partie Zoom) ne cache pas qu’il y aura des rétorsions économiques plus vastes si les hyperscalers étaient exclus de certains marchés sensibles à cause de ce « niveau 1 ». Et la France semble avoir perdu du terrain.
« Il y a un an, la position française était très rassurante. Aujourd’hui, la situation semble plus mitigée », constate Stanislas de Rémur, fondateur et PDG de Oodrive, dans une interview au MagIT sur le sujet. Mais « alors que la question de l’indépendance numérique européenne est particulièrement préoccupante […], il serait incohérent que ces nouvelles normes standardisées ne protègent finalement pas davantage l’Europe », ajoute-t-il.
La brouille autour d’une telle certification est d’autant moins anecdotique que le contexte géopolitique a remis la souveraineté numérique au goût du jour dans les grands groupes, constate Olivier Nollent, le nouveau PDG de SAP France. Mais quelle souveraineté ?
Si l’EUCS à la sauce française perd la bataille, un logiciel SaaS (Zoom ou un autre) pourra se dire souverain au sens européen, mais ne pas l’être en France.
Une situation qui risque de créer de la confusion et de transmuter une pomme de discorde en pain béni pour les acteurs IT extra-européens qui, à l’instar du CCIA Europe, ont compris depuis longtemps le gain économique qui se cache dans le jeu des certifications et du cloud (plus ou moins) souverain.