← AI War Room
Souverainete

CSA2 : Bruxelles réécrit les règles de la certification cyber, et cette fois les Américains ne pourront pas ignorer le texte

Tech4B2B · · 5 min (mis à jour le )
Illustration : CSA2 : Bruxelles réécrit les règles de la certification cyber, et cette fois les Américains ne pourront pas ignorer le texte
  • Sujet: CSA2 : Bruxelles réécrit les règles de la certification cyber, et cette fois les Américains ne pourront pas ignorer le texte
  • Date:
La Commission européenne pousse une révision du Cybersecurity Act de 2019 — officieusement baptisée CSA2 — qui durcit les schémas de certification, élargit leur périmètre et introduit des mécanismes de surveillance qui vont bien au-delà du cadre initial. Pour les fournisseurs américains présents sur le marché européen, le texte transforme ce qui était un exercice volontaire en quasi-obligation commerciale.Le projet n'est pas encore finalisé, mais les arbitrages en cours à Bruxelles dessinent déjà un rapport de force inédit entre l'ENISA, les agences nationales et les grands fournisseurs cloud et industriels — européens comme américains.

Le Cybersecurity Act de 2019 avait posé un cadre de certification européen pour les produits, services et processus TIC. L'ENISA coordonnait, les États membres validaient, les entreprises candidataient si elles le souhaitaient. Trois ans plus tard, le bilan est modeste : un seul schéma de certification pleinement adopté — l'EUCC, basé sur les Critères Communs — et un autre, l'EUCS pour le cloud, enlisé dans des querelles de souveraineté depuis 2020.

CSA2 part de ce constat d'inertie. Le texte, dont une proposition législative circule depuis le premier trimestre 2025, ne se contente pas de corriger les lenteurs. Il change la logique.

De volontaire à quasi-obligatoire

Le mécanisme central du CSA original reposait sur le volontariat. Un fabricant de routeurs industriels ou un fournisseur SaaS pouvait obtenir une certification ENISA pour se différencier sur le marché, mais rien ne l'y contraignait — sauf si un texte sectoriel (NIS2, le Cyber Resilience Act) venait l'exiger. CSA2 inverse la mécanique : pour certaines catégories de produits et services jugés critiques, la certification deviendra une condition d'accès au marché unique. La liste exacte de ces catégories n'est pas encore arrêtée. C'est précisément là que le lobbying bat son plein.

Côté américain, les entreprises les plus directement concernées sont les hyperscalers cloud — AWS, Microsoft Azure, Google Cloud — et les fournisseurs de composants de sécurité intégrés dans les chaînes d'approvisionnement européennes. Cisco, Palo Alto Networks, CrowdStrike et Fortinet figurent parmi les noms que les observateurs bruxellois citent comme les plus actifs dans les consultations.

Le fantôme de l'EUCS plane. Ce schéma cloud, dans sa version initiale, incluait une exigence de souveraineté qui aurait interdit aux fournisseurs non-européens d'obtenir le niveau de certification le plus élevé. La clause a été retirée après une pression diplomatique et industrielle américaine massive. Hekki Lahtinen, qui dirigeait alors le groupe de travail à l'ENISA, a quitté ses fonctions quelques mois après l'épisode. CSA2 ne réintroduit pas formellement cette clause de souveraineté, mais le texte prévoit que les schémas de certification pourront inclure des exigences relatives au lieu de traitement des données et à la juridiction applicable au fournisseur. La nuance est ténue.

ENISA, arbitre et partie

L'agence européenne de cybersécurité sort renforcée du projet. CSA2 lui confère un pouvoir d'initiative sur les schémas de certification — là où elle dépendait jusqu'ici d'un mandat de la Commission — et lui donne un rôle de supervision sur les organismes nationaux d'évaluation de conformité. En France, l'ANSSI conserve sa prérogative sur les certifications nationales, mais devra se conformer aux schémas européens une fois adoptés. Les deux agences ont historiquement des approches divergentes sur le niveau d'exigence : l'ANSSI certifie selon ses propres référentiels (SecNumCloud, CSPN) avec des critères souvent plus stricts que les équivalents ENISA.

La BSI allemande, de son côté, a publié un avis technique en mars 2025 soulignant que les schémas ENISA ne couvrent pas suffisamment les risques liés aux supply chains logicielles — un point sur lequel le NIST américain a pris de l'avance avec son framework SSDF.

L'ironie, c'est que Bruxelles s'est partiellement inspirée du modèle FedRAMP américain — un programme de certification cloud fédéral obligatoire pour vendre aux agences gouvernementales US — pour concevoir l'architecture du CSA. FedRAMP, lui, ne prétend pas s'appliquer au secteur privé.

La grille de lecture compliance

Pour un DSI européen qui gère des fournisseurs américains dans son portefeuille, CSA2 crée une superposition réglementaire qui n'existait pas il y a dix-huit mois. NIS2, entré en application en octobre 2024, impose déjà des obligations de gestion des risques cyber sur les entités essentielles et importantes. Le Cyber Resilience Act, adopté fin 2024, ajoute des exigences de sécurité by design sur les produits connectés. CSA2 vient par-dessus, avec un mécanisme de certification qui recoupe partiellement les deux textes sans les remplacer.

La question que les équipes juridiques des grands fournisseurs américains posent en ce moment est simple : faut-il se préparer à créer des entités juridiques européennes dédiées pour porter les certifications, ou peut-on compter sur des mécanismes d'équivalence avec les certifications existantes (SOC 2, FedRAMP, ISO 27001) ? Le texte actuel de CSA2 ne prévoit pas d'équivalence automatique. Il mentionne la possibilité d'accords de reconnaissance mutuelle, mais les renvoie à des négociations bilatérales. Le Trade and Technology Council UE-US, qui aurait pu être le forum naturel pour ces discussions, a perdu en momentum politique depuis 2024.

Ce que le texte ne dit pas

CSA2 ne chiffre pas le coût de certification. Les premières estimations informelles qui circulent à Bruxelles tournent autour de 150 000 à 500 000 euros par schéma, par produit ou service, pour les niveaux élevés — hors coûts d'adaptation technique. Pour un éditeur SaaS de taille moyenne qui vend en Europe, c'est un ticket d'entrée qui change l'équation commerciale.

Le texte ne dit rien non plus sur l'articulation avec les managed security services. Un SOC opéré depuis les États-Unis pour des clients européens tombe-t-il sous l'obligation de certification ? L'ENISA n'a pas tranché. L'ANSSI, dans une note de position publiée en janvier 2025 sur le périmètre du PAMS (schéma de certification des services managés de sécurité), pose la question sans y répondre.

La réunion du groupe de travail ECCG — le European Cybersecurity Certification Group, qui rassemble les autorités nationales — s'est tenue à Bruxelles le 7 mai. Dix-sept États membres étaient représentés. L'ordre du jour comprenait huit points. La presse n'était pas invitée.

Côté américain, l'attention est ailleurs

La plupart des grands fournisseurs US n'ont pas commenté publiquement le projet CSA2. Amazon Web Services a mentionné dans un billet de blog en février 2025 son engagement à soutenir les cadres réglementaires européens, sans citer le texte. Microsoft, qui a ouvert un centre de transparence cyber à Bruxelles en 2023, n'a pas mis à jour sa page de politique publique européenne depuis novembre 2024. Google Cloud a publié un livre blanc sur la souveraineté numérique en mars 2025, centré sur les contrôles de résidence de données, pas sur la certification.

L'administration américaine, elle, a d'autres priorités réglementaires. Le CISA est en pleine restructuration budgétaire. Le département du Commerce se concentre sur les contrôles à l'export de semi-conducteurs. La cybersécurité européenne est un sujet de spécialistes dans les couloirs du Congrès, pas un dossier politique.

C'est un décalage que les lobbyistes de l'industrie tech américaine à Bruxelles décrivent comme préoccupant. L'ITI (Information Technology Industry Council) a envoyé une lettre ouverte au commissaire Thierry Breton — qui n'est plus en poste — en septembre 2024 demandant des mécanismes d'équivalence. La lettre était adressée au mauvais commissaire. Elle n'a pas été renvoyée au bon.

Le précédent RGPD

En 2016, la majorité des entreprises américaines considéraient le RGPD comme un problème européen. En 2018, au moment de son entrée en application, les budgets compliance avaient explosé. Les mêmes entreprises qui avaient minimisé le texte se retrouvaient à créer des postes de DPO, reconfigurer leurs architectures de données et négocier des clauses contractuelles types avec des clients européens paniqués. Le schéma CSA2 suit un calendrier comparable : proposition en 2025, adoption probable en 2026, application en 2027-2028.

Sauf que la certification cyber est plus technique que la protection des données. Un audit RGPD porte sur des processus. Une certification CSA2 de niveau élevé impliquera des tests de pénétration, des analyses de code source, des évaluations de la chaîne d'approvisionnement logicielle. Les organismes d'évaluation de conformité accrédités en Europe n'ont pas aujourd'hui la capacité de traiter un volume massif de demandes. L'ENISA le reconnaît dans son rapport annuel 2024 : il existe 14 organismes accrédités pour l'EUCC dans l'ensemble de l'Union. Quatorze.

Le CSA2 prévoit d'élargir le réseau d'évaluateurs. Il ne dit pas comment.

Roberto Cascella, qui supervise la certification à l'ENISA, a déclaré lors d'une conférence à Tallinn en avril 2025 que l'agence travaillait à des formats d'évaluation simplifiés pour les niveaux de base et substantiel. Pour le niveau élevé, il a parlé de calendriers réalistes sans donner de date.

TL;DR

La révision du Cybersecurity Act européen (CSA2) transforme la certification cyber volontaire en pré-requis d'accès au marché unique pour certaines catégories de produits et services — les fournisseurs américains n'ont pas encore mesuré l'impact.

  • CSA2 rend la certification ENISA potentiellement obligatoire pour les produits et services TIC critiques, sans mécanisme d'équivalence automatique avec les certifications américaines (FedRAMP, SOC 2, ISO 27001).
  • Le texte renforce l'ENISA et permet d'intégrer des exigences de localisation des données et de juridiction dans les schémas de certification — une clause de souveraineté qui ne dit pas son nom.
  • Avec seulement 14 organismes d'évaluation accrédités dans l'UE et des coûts estimés entre 150 000 et 500 000 euros par certification de niveau élevé, la capacité opérationnelle européenne à absorber le flux est un angle mort du projet.

Questions fréquentes

CSA2 est-il déjà en vigueur et quand les entreprises doivent-elles s'y conformer?

Non. Le texte est au stade de proposition législative en 2025. L'adoption est attendue courant 2026, avec une entrée en application probable entre 2027 et 2028 selon les schémas de certification concernés. Les catégories de produits et services soumises à certification obligatoire ne sont pas encore finalisées.

Les certifications américaines existantes (FedRAMP, SOC 2) seront-elles reconnues comme équivalentes?

En l'état actuel du texte, non. CSA2 mentionne la possibilité d'accords de reconnaissance mutuelle mais les renvoie à des négociations bilatérales qui n'ont pas commencé. Les fournisseurs américains devront vraisemblablement passer par les schémas européens pour accéder au marché.

Quel est l'impact concret pour un DSI européen qui travaille avec des fournisseurs cloud américains?

À terme, un DSI pourrait être contraint de vérifier que ses fournisseurs cloud et de sécurité disposent d'une certification européenne valide pour les services jugés critiques. Cela ajoute une couche de due diligence contractuelle aux obligations NIS2 et Cyber Resilience Act déjà existantes, et pourrait réduire le nombre de fournisseurs éligibles à court terme.

Article rédigé par Hamadi Lanouar
Le brief tech qui compte
Chaque matin à 7h, les 5 signaux tech B2B à ne pas manquer.