Cybersecurity Act : Évaluation des Services Cloud et Souveraineté Numérique

Une Nouvelle Approche de la Cybersécurité en Europe

Dans un contexte d’accroissement des menaces cyber touchant les secteurs publics et essentiels de l'U.E, la Commission dévoile une nouvelle version de son Cybersecurity Act axée sur la sécurité de la supply chain et l'évaluation des actifs numériques contre les risques d'ingérence.

Consciente qu'elle ne peut réguler le marché européen sur l'axe de la souveraineté juridique, la Commission européenne a dévoilé un nouveau paquet législatif en matière de cybersécurité. Ce paquet cible la chaîne d'approvisionnement IT européenne et les risques d'ingérence étrangère.

La nouvelle loi Cybersecurity Act vise à réduire les risques liés aux fournisseurs de pays tiers présentant des problèmes de cybersécurité dans toute la chaîne d'approvisionnement des TIC de l'UE, y compris ceux liés au Cloud Computing.

Une Meilleure Évaluation des Risques Cyber Tiers

L’exécutif européen et les États membres pourront lancer des évaluations de risques pour des chaînes d’approvisionnement ICT spécifiques. Ces évaluations viseront à identifier les vulnérabilités et les risques. Cela inclut des facteurs non techniques, comme l’environnement juridique ou politique dans lequel opèrent certains fournisseurs.

Ce paquet cyber prévoit également l’identification des actifs ICT clés (key ICT assets). À l’issue des analyses, des actifs clés pourront être définis dans les chaînes d’approvisionnement concernées. Cela inclut des composants, équipements ou services jugés critiques pour le fonctionnement des secteurs considérés comme essentiels ou importants, selon la terminologie de NIS 2.

Mesures Ciblées pour les Actifs Critiques

La Commission européenne pourra proposer des mesures pour réduire les risques. Celles-ci peuvent inclure l’interdiction d’utiliser des composants fournis par des fournisseurs qualifiés de “high-risk suppliers” dans les actifs IT critiques. Le texte prévoit également un mécanisme permettant à la Commission européenne de désigner un pays comme présentant “des préoccupations en matière de cybersécurité” pour les chaînes d’approvisionnement ICT.

Gérer la Souveraineté et la Sécurité de l'Approvisionnement

L’évaluation de la Commission ne repose pas uniquement sur des critères techniques. Elle prend également en compte des critères non techniques, comme le cadre juridique et institutionnel du pays concerné. Cela inclut l’existence de lois pouvant obliger les entreprises à coopérer avec les autorités, les risques d’ingérence, ou encore l’absence de garanties effectives en matière d’État de droit.

Si un pays est désigné, les entités qui y sont établies ou qui sont contrôlées par ce pays, par ses autorités ou ses ressortissants, peuvent se voir interdire certaines activités dans les chaînes d’approvisionnement ICT critiques. Ce cadre législatif cyber pourrait ainsi s'étendre à l'évaluation de services et d'actifs cloud dans la chaîne d'approvisionnement, tels que les stacks, serveurs, matériels et réseaux.

Prenons le cas d’un opérateur cloud européen qui utilise un stack technologique ou des équipements réseau fournis par une entreprise liée à un pays que la Commission a désigné comme présentant des “préoccupations en matière de cybersécurité”. Si ces équipements sont classés comme des “actifs ICT clés”, l’opérateur cloud ne pourra plus en acheter auprès de ce fournisseur. S’il en a déjà en service, il pourrait être obligé de les remplacer dans un délai fixé par la Commission.

Souveraineté Numérique : Des Recommandations aux Obligations

Après l’échec des recommandations volontaires liées à la souveraineté technologique, l’U.E veut passer à une obligation juridique. Jusqu’ici, Bruxelles appelait les États membres à écarter les fournisseurs jugés à risque, sans pouvoir les y contraindre. Elle proposait également des frameworks de souveraineté pour les appels d'offres publics.

Le nouveau Cybersecurity Act change cette logique. Il donne à la Commission un cadre légal pour identifier les “pays tiers posant des préoccupations en matière de cybersécurité”, lister les entités qui en dépendent et imposer leur exclusion des actifs ICT critiques.

Ce projet de réglementation intervient dans un contexte international explosif, avec des relations particulièrement tendues entre la France et les États-Unis.

Conclusion : Anticiper les Changements

En résumé, il est crucial de vérifier la chaîne d'approvisionnement de vos actifs critiques en matière IT et de cloud computing. Demain, ils pourraient se voir interdits par l'U.E dans un cadre de cybersécurité totalement légal.

La vigilance est de mise. Les entreprises doivent s'adapter à ces nouvelles exigences pour garantir leur conformité et leur sécurité. En intégrant ces changements, elles peuvent mieux naviguer dans un paysage numérique en constante évolution.