Ce qui se joue actuellement autour du label européen de cybersécurité cloud EUCS (European Union Cybersecurity Certification Scheme) n’est pas un simple débat technique réservé aux RSSI et aux juristes spécialisés. C’est un choix politique majeur, aux conséquences industrielles, géopolitiques et opérationnelles profondes.
Sous couvert d’harmonisation européenne et de réalisme économique, l’Union européenne a acté un renoncement clair : la souveraineté numérique n’est plus une exigence structurante, mais une option parmi d’autres. Le compromis final ouvre explicitement la porte aux hyperscalers non-européens pour l’hébergement de données sensibles, y compris celles relevant de secteurs critiques.
🚨 Un renoncement stratégique assumé
Ce n’est ni un accident, ni une erreur de rédaction. C’est un arbitrage.
🧾 EUCS : d’un outil stratégique à un label cosmétique
À l’origine, l’EUCS devait répondre à un besoin clair :
- garantir un haut niveau de sécurité technique,
- assurer une maîtrise juridique des données,
- protéger les infrastructures critiques européennes contre les lois extraterritoriales (Cloud Act, FISA, Patriot Act).
Les premières versions du texte évoquaient explicitement :
- la localisation des données et des métadonnées,
- le contrôle capitalistique et opérationnel des prestataires,
- l’immunité juridique vis-à-vis de juridictions non européennes.
Tout cela a disparu.
Le résultat final autorise désormais un cloud à être certifié EUCS “élevé”, tout en restant soumis à des législations étrangères. La souveraineté est remplacée par des notions floues de mesures compensatoires, audits, clauses contractuelles.
En clair :
la dépendance est reconnue, mais considérée comme acceptable.
🏛️ Berlin, Paris, Bruxelles : chacun ses intérêts, aucun courage
La lecture simpliste d’un bras de fer entre Berlin et Paris masque une réalité plus inconfortable.
- L’Allemagne défend un modèle industriel fortement imbriqué avec les hyperscalers américains.
- La France tient un discours de souveraineté, mais continue de confier des pans entiers de son SI public à des acteurs soumis au Cloud Act.
- La Commission européenne raisonne avant tout en termes de marché unique, de compétitivité et de réduction des barrières.
Résultat : personne ne veut assumer le coût politique et économique d’une vraie rupture.
Le message envoyé aux acteurs européens est limpide :
Innover, oui. Être protégés, non.
🏭 Industrie de défense et énergie : les signaux d’alerte ignorés
La polémique autour de la vente de LMB Industrie à LLAR, contre l’avis de la DGA et du ministère des Armées, est révélatrice. Lorsqu’un actif industriel stratégique peut changer de mains malgré des alertes explicites, cela démontre une chose : la souveraineté est devenue une variable d’ajustement.
Même logique avec le projet de cession d’Exaion, filiale cloud et HPC d’EDF. Dans un contexte où :
- l’énergie est un levier géopolitique,
- le calcul haute performance est critique,
- la maîtrise des infrastructures numériques est stratégique,
la question n’est pas « est-ce rentable ? » mais « est-ce acceptable ? ».
Or cette deuxième question semble systématiquement évacuée.
🏥 Santé : quand la dépendance devient un risque vital
C’est dans le secteur de la santé que ce renoncement devient le plus concret — et le plus dangereux.
Hôpitaux, GHT, CHU fonctionnent aujourd’hui avec :
- des messageries cloud non souveraines,
- des solutions de stockage externalisées,
- des applications métiers interconnectées via des annuaires Active Directory exposés.
Dans de nombreux établissements, l’AD est :
- mal segmenté,
- exposé à des flux SaaS non maîtrisés,
- dépendant de services cloud soumis à des juridictions étrangères.
Les conséquences sont connues :
- attaques par ransomware à propagation latérale,
- compromission des identités,
- paralysie complète des SI hospitaliers.
Parler de cloud de confiance dans ce contexte relève soit de l’aveuglement, soit du cynisme.
🔐 Active Directory : le talon d’Achille ignoré
Active Directory reste le cœur de l’identité numérique dans la majorité des organisations critiques.
Or :
- il est de plus en plus interconnecté avec des services cloud externes,
- les flux d’authentification sont rarement cartographiés,
- les dépendances SaaS sont souvent introduites sans analyse de risque SSI.
En labellisant des clouds non souverains comme « sûrs », l’EUCS normalise cette exposition.
On ne maîtrise plus qui peut :
- interroger les annuaires,
- accéder aux métadonnées,
- exploiter les journaux d’authentification.
Ce n’est plus un risque théorique. C’est un risque systémique.
🛡️ NIS2, HDS, SecNumCloud vs EUCS : la grande dissonance réglementaire
Le plus inquiétant dans l’affaire EUCS n’est pas seulement son manque d’ambition, mais son incohérence frontale avec les cadres réglementaires existants.
D’un côté, l’Europe et les États membres empilent les exigences :
- NIS2, qui impose une gestion stricte des risques cyber, des dépendances fournisseurs et des chaînes de confiance,
- HDS (Hébergement de Données de Santé), qui encadre théoriquement la protection des données médicales,
- SecNumCloud, référentiel français exigeant une maîtrise juridique, capitalistique et opérationnelle totale.
De l’autre, l’EUCS vient introduire un label européen qui :
- ne requiert aucune immunité vis-à-vis des lois extraterritoriales,
- accepte des opérateurs soumis au Cloud Act,
- dilue la notion même de souveraineté sous des couches de procédures.
On se retrouve avec une situation ubuesque :
un cloud peut être certifié EUCS “élevé”, mais incompatible avec SecNumCloud.
⚖️ NIS2 : analyse de risque… sans levier réel
NIS2 exige des entités essentielles et importantes qu’elles maîtrisent :
- leurs fournisseurs critiques,
- leurs dépendances numériques,
- leurs risques juridiques et opérationnels.
Mais comment parler de maîtrise quand le cadre européen lui-même légalise la dépendance ?
Les RSSI se retrouvent sommés de produire des analyses de risques détaillées, tout en étant contraints d’utiliser des solutions cloud labellisées mais juridiquement incontrôlables. La responsabilité est déplacée vers l’opérationnel, sans donner les moyens structurels d’agir.
🏥 HDS : une protection théorique des données de santé
Le référentiel HDS impose des exigences de sécurité élevées. Mais dans les faits :
- il ne protège pas contre l’extraterritorialité,
- il repose largement sur des engagements contractuels,
- il est compatible avec des clouds non souverains.
Dans un hôpital, cela signifie que :
- les données patients peuvent être hébergées sur des infrastructures certifiées,
- tout en restant accessibles juridiquement à des autorités étrangères.
Le risque n’est pas seulement celui d’une cyberattaque, mais celui d’une perte de maîtrise stratégique sur des données vitales.
🇫🇷 SecNumCloud : l’exception qui dérange
SecNumCloud reste aujourd’hui le seul référentiel cohérent avec une véritable notion de souveraineté numérique.
Il impose :
- une immunité juridique stricte,
- un contrôle capitalistique européen,
- une exploitation sur le territoire,
- une chaîne de sous-traitance maîtrisée.
C’est précisément pour cela qu’il est perçu comme :
- trop contraignant,
- trop coûteux,
- trop clivant.
L’EUCS, en comparaison, apparaît comme un référentiel d’acceptabilité politique, pas de sécurité stratégique.
📌 Encadré — Lecture RSSI/DSI : justifier un choix cloud EUCS face à un audit NIS2
Si votre organisation tombe sous NIS2 (entité essentielle ou importante), un auditeur — interne, externe, ou régulateur — ne se contentera pas d’un badge EUCS. Il cherchera une logique de maîtrise du risque. Voici une approche défendable (et surtout documentable) si vous utilisez un prestataire certifié EUCS mais non souverain.
1) Poser le cadre : EUCS ≠ conformité NIS2
- Expliquez que l’EUCS est un socle de certification cybersécurité (contrôles techniques et organisationnels),
- mais que NIS2 exige une gouvernance du risque (dépendances, chaîne d’approvisionnement, impacts, plans de traitement).
2) Classer les données et les usages (et être brutalement honnête)
- Séparez “données sensibles” (secret, santé, défense, R&D) et “données importantes” (RH, finance, opérationnel),
- identifiez ce qui ne doit pas aller dans un cloud soumis à l’extraterritorialité.
3) Produire une analyse de risque fournisseur dédiée
À minima, documentez :
- exposition juridique (Cloud Act/FISA),
- surfaces d’accès (support, journaux, métadonnées),
- sous-traitants et localisation réelle,
- scénarios d’impact (confidentialité, disponibilité, intégrité, réputation, continuité).
4) Définir des mesures compensatoires vérifiables (pas des vœux pieux)
Exemples acceptables dans un rapport d’audit :
- chiffrement côté client + gestion des clés en HSM sous contrôle de l’organisation,
- segmentation stricte des identités (IAM/AD) et des flux,
- journalisation centralisée et supervision indépendante,
- clauses contractuelles : notification, transparence, réversibilité, auditabilité,
- PRA/PCA testés (RTO/RPO prouvés),
- stratégie de sortie documentée (plan de migration, dépendances, formats, coûts).
5) Assumer une stratégie hybride “zones de confiance”
La ligne la plus solide consiste à formaliser :
- une “zone souveraine” (SecNumCloud/on-prem) pour le critique,
- une “zone EUCS” pour l’important,
- une gouvernance de flux/identités entre les zones (cartographie, revues régulières, MFA, moindre privilège).
6) Conserver la preuve : le dossier d’audit
Le nerf de la guerre NIS2, c’est la traçabilité. Gardez :
- décisions d’arbitrage (comité SSI),
- registre des risques,
- comptes rendus de revues fournisseurs,
- résultats de tests (PRA, audits, pentests),
- indicateurs de pilotage.
👉 En clair : vous ne “justifiez” pas EUCS par EUCS. Vous justifiez un choix cloud par une démarche de gestion du risque, des limites assumées, et des preuves.
📌 Lecture RSSI / DSI — EUCS face à un audit NIS2 : l’équation impossible
Question posée en audit NIS2 : Pouvez-vous démontrer la maîtrise de vos dépendances cloud critiques, y compris les risques juridiques et extraterritoriaux ?
Réponse basée uniquement sur l’EUCS : insuffisante.
Dans les faits, un label EUCS « élevé » permet seulement de démontrer :
- un niveau de sécurité technique,
- l’existence de processus et d’audits,
- des engagements contractuels.
Il ne permet pas de démontrer :
- l’immunité au Cloud Act ou à des lois équivalentes,
- la maîtrise juridique des accès aux données,
- l’absence de dépendance stratégique à un fournisseur extra-européen.
Conséquence directe : lors d’un audit NIS2, le RSSI doit compenser par :
- une analyse de risque renforcée documentant explicitement l’extraterritorialité,
- des mesures compensatoires lourdes (chiffrement, cloisonnement, PRA/PCA complexes),
- une acceptation formelle du risque par la direction.
Autrement dit : le risque n’est pas éliminé, il est transféré — du politique vers l’opérationnel.
Message clé pour les DSI/RSSI :
EUCS n’est pas un bouclier réglementaire face à NIS2. C’est un point de départ technique, pas une justification de souveraineté.
📊 L’illusion de la gouvernance par l’observation
Face à ces constats, la réponse politique est révélatrice : création d’un observatoire de la souveraineté numérique.
Autrement dit :
- on observe ce qu’on refuse de réguler,
- on mesure ce qu’on n’ose pas corriger,
- on documente ce qu’on a déjà abandonné.
Sans :
- politique d’achat cohérente,
- exigences juridiques contraignantes,
- stratégie industrielle assumée,
un observatoire n’est qu’un outil de communication.
⚖️ Conclusion : la souveraineté ne se décrète pas, elle se finance
La souveraineté numérique a un coût :
- financier,
- organisationnel,
- parfois fonctionnel.
Mais la dépendance a un prix bien plus élevé, payé plus tard, dans l’urgence, sous contrainte.
En validant un EUCS vidé de sa substance stratégique, l’Europe fait un choix clair :
- celui du court terme,
- celui du confort,
- celui du renoncement.
Les hôpitaux, les industriels, les opérateurs critiques en subiront les conséquences en premier.
Et cette fois, aucun label ne servira de pare-feu.
