Cloud souverain ou de confiance, les terme s sont piégeux et conduisent vite à une vision doctrinale. Le point.
À lire les définitions que donnent les acteurs de l’informatique sur le Web, d’aucuns diront que le cloud souverain se concentre sur la localisation géographique des données, tandis que le cloud de confiance se focalise sur la sécurité et la confidentialité des données, ainsi que sur la conformité aux réglementations européennes telles que le RGPD. Pour d’autres, c’est exactement l’inverse. Le premier est conforme aux réglementations locales, le second se voulant complémentaire, moins strict. Posons la question à un témoin de valeur : Guillaume Poupard, directeur général adjoint de Docaposte, filiale numérique de La Poste, et ancien directeur général de l’ANSSI. Docaposte a développé son propre cloud privé et l’opère elle-même. L’entreprise est également la première utilisatrice de NumSpot, un cloud français né de sa volonté et de celle de la Banque des Territoires, de Dassault Systèmes et de Bouygues Telecom.
La souveraineté n’est pas une marque déposée
« Les termes “souverain” ou “de confiance” ne sont pas déposés, donc on ne peut pas attaquer en justice les hyperscalers qui les utilisent. Il y a ceux qui veulent bien les croire et ceux qui lèvent les yeux au ciel, comme moi, mais ils ont le droit de les utiliser », commente Guillaume Poupard.
Avant tout, un cloud doit « être bien construit et sécurisé face aux cybercriminels », explique-t-il, précisant,« objectivement », que les clouds américains « le font très bien ». « Les offres que l’on développe en France et en Europe doivent être au même niveau de sécurité, cela n’est pas négociable à mon avis. » Le référentiel SecNumCloud a fait ses preuves dans le domaine, rappelle-t-il.
Vient ensuite la sécurité juridique. « On sait très bien que quand on fait appel à un fournisseur américain, où que soient localisés les datacenters, les autorités américaines peuvent accéder aux données et les clouders n’ont pas le droit de prévenir les détenteurs de ces données. Mais le fait qu’ils suivent la loi américaine ne doit pas être un débat – ce serait comme reprocher à une entreprise française de suivre la loi française, on serait outré. »
Se soustraire au droit non européen
Pour avoir une sécurité juridique, il faut donc se soustraire au droit non européen. Il y a deux manières de le faire, relève Guillaume Poupard. « La première est de prendre de la technologie américaine et de la faire opérer par des acteurs européens, qui ne sont pas soumis au droit américain. » Cela donne deux projets qui sont Bleu (Microsoft, Orange et Capgemini) et S3NS (Google et Thales) en France, en veillant à ce que le Cloud Act ne puisse pas s’appliquer – et ce n’est pas simple. « On a pris soin de modifier le référentiel SecNumCloud pour ajouter des critères qui permettent d’attester de cette sécurité juridique. »
« L’autre choix possible est d’être beaucoup moins dépendant des non-européens, de s’appuyer fortement sur l’open source et de faire les choses par nous-mêmes, entre européens. » C’est ce que font des OVH cloud, Scaleway, Outscale ou NumSpot. « Nous avons des ingénieurs intelligents et, en open source, quasiment tout est disponible. Ce n’était pas vrai il y a 10 ans, d’où les échecs des premiers essais de clouds souverains Clouwatt et Numergy. »
Le sentiment de Guillaume Poupard est que les offres de Bleu et S3NS ne sont pas souveraines car dépendantes des technologies américaines. « On sait très bien qu’il y a un risque résiduel d’arrêt des livraisons. On n’est à l’abri de rien. »
Faire des analyses lucides
Mais il ne faut pas pour autant raisonner en pensant « solution unique qui s’applique à tout ». La position de Docaposte est de dire qu’il faut faire des analyses de risque de manière objective. Il y a des cas où les offres standards des Azure, AWS ou Google sont probablement les plus adaptées. « Il faut être bon joueur, honnête. Quand on cherche à maximiser des rapports coûts/bénéfices avec des besoins faibles en confidentialité, pourquoi pas. » À l’inverse, certains domaines comme la santé ou l’éducation réclament une vraie autonomie. Ainsi, le système d’information de Maison France Services, opéré par Docaposte et qui permet d’avoir accès aux services publics dans les territoires, est chez NumSpot en raison des données sensibles sur les concitoyens et les collectivités locales. Pour son logiciel Pronote, Docaposte est allé encore plus loin : l’entreprise a son propre datacenter dédié avec ses seuls systèmes dessus, une solution qualifiée SecNumCloud.
Vates, un choix français crédible face à VMware
Vates est une entreprise française spécialisée dans les solutions open source de virtualisation et de gestion d’infrastructures pour le cloud hybride. Interview de son cofondateur, Olivier Lambert.
SNC – Comment l’idée de votre entreprise est-elle née ?
O. L. – Lorsque nous avons fondé Vates en 2012, notre objectif était d’agir comme intégrateur de solutions open source. Nous accompagnions des entreprises souhaitant moderniser leur SI tout en se libérant de la dépendance aux logiciels propriétaires. Rapidement, nous avons eu besoin d’un outil pour orchestrer nos propres machines virtuelles. Ne trouvant pas de solution adaptée, nous avons développé la nôtre, jusqu’à couvrir l’ensemble de la pile de virtualisation : de l’hyperviseur (XCP-ng) jusqu’à l’orchestrateur et la sauvegarde des machines virtuelles (Xen Orchestra), en passant par la plateforme elle-même.
SNC – Comment a-t-elle évolué ?
O. L. – Cette progression organique nous a permis, en 2022, de répondre à une nouvelle demande massive née du rachat de VMware par Broadcom. Cette fusion a eu un impact immédiat sur les clients : les conditions commerciales ont été profondément modifiées. Beaucoup d’entreprises se sont alors mises à chercher une alternative crédible, que nous étions devenus à ce moment-là : à la fois open source mais aussi clé en main et suffisamment mature pour remplacer VMware en production. Ce contexte a renforcé notre position sur le marché, en particulier aux États-Unis où la demande a explosé.
SNC – Que demandent vos clients ?
O. L. – Nos clients sont très variés, à l’image du marché VMware qui couvrait aussi bien les grands groupes que les PME, les administrations ou encore les fournisseurs de services cloud. Certains migrent l’ensemble de leur infrastructure on premise, d’autres utilisent notre solution comme socle pour leur cloud privé, hybride ou même public. Le fournisseur français Cloud Temple, par exemple, a intégré notre stack pour motoriser une partie de son cloud souverain.
“Le fournisseur français Cloud Temple, par exemple, a intégré notre stack pour motoriser une partie de son cloud souverain.”
SNC – Comment allez-vous évoluer ?
O. L. – Notre ambition est de devenir l’alternative de référence aux géants du marché. Peu d’entreprises sur notre continent maîtrisent la virtualisation de bout en bout. Nous voulons aller plus loin : structurer une véritable filière industrielle et académique autour de ces technologies, renforcer nos partenariats stratégiques et faire émerger un écosystème européen robuste et cohérent.
SNC – Qu’est-ce qu’un cloud de confiance pour vous ? Doit-il être souverain ?
O. L. – Un cloud de confiance, c’est un environnement dans lequel je n’ai pas à craindre que mes données soient compromises, exposées ou utilisées à mon insu. Cela suppose une chaîne de confiance complète : matériel, logiciel, prestataires, législation.
“Un Cloud de confiance suppose une chaîne de confiance complète : matériel, logiciel, prestataires, législation.”
Dans ce contexte, la souveraineté devient un critère de confiance. Il est plus simple de faire confiance à des acteurs dont les intérêts, les lois et les valeurs sont alignés avec les nôtres. Même des alliés historiques peuvent changer de cap. S’appuyer sur des acteurs de son propre pays ou, à défaut, de l’Union européenne, réduit le risque juridique et politique.
Être souverain, ce n’est pas être seul ou isolé : c’est être en capacité de comprendre ses dépendances, de les évaluer et de faire des choix en connaissance de cause.
SNC – Pensez-vous que les lignes bougent en ce moment à ce sujet ?
O. L. – Absolument, il faut d’abord rappeler que le cloud repose sur la virtualisation et que cette technologie est aujourd’hui en plein bouleversement. Le rachat de VMware par Broadcom a eu un effet de choc : augmentation brutale des tarifs, rupture des partenariats historiques et flou stratégique pour les clients. Beaucoup de DSI ont soudain pris conscience de leur dépendance à un fournisseur unique – et étranger – pour un composant aussi critique.
Un deuxième réveil s’est produit avec l’arrivée de l’administration Trump et les mesures de rétorsion technologique qui ont suivi. Ce qui relevait auparavant de la science-fiction (couper l’accès à un service cloud à distance pour des raisons géopolitiques) est devenu une réalité envisageable. Ces évènements ont mis en lumière une forme de naïveté dans la manière dont certains confiaient des pans entiers de leur infrastructure à des acteurs extra-européens, sans évaluation sérieuse des risques.
Aujourd’hui les entreprises veulent regagner en maîtrise et en lisibilité.
AVIS D’EXPERT
« Le cloud de confiance s’impose comme le socle incontournable d’un avenir numérique durable. »
Servane Augier, directrice des affaires publiques chez NumSpot,
nous donne son avis sur une question essentielle.
SNC – Quel est le rôle clé de l’infrastructure de confiance dans l’essor de l’IA et de la cybersécurité ?
S. A. – L’IA est sans conteste l’une des révolutions majeures du début du XXIe siècle. Ses promesses sont immenses : automatisation des processus, détection prédictive, personnalisation de l’expérience client, optimisation des chaînes de production, etc. Mais déployer des solutions d’IA ne se fait pas sans exigences techniques considérables. Qui contrôle en dernier ressort les décisions prises par cette technologie ? Comment la sécurité des données peut-elle être garantie ? Quel sera l’impact tangible sur l’organisation du travail ? L’IA me remplacera-t-elle demain au travail ? Ces questions encore sans réponse ralentissent l’adoption.
1. Des besoins matériels lourds
Les modèles d’IA, notamment les grands modèles de langage (LLM) ou les réseaux de neurones profonds, requièrent des capacités de calcul massives, généralement assurées par des GPU (processeurs graphiques) très onéreux. Ces matériels sont non seulement coûteux à l’achat mais aussi difficiles à approvisionner en raison des tensions sur les chaînes logistiques mondiales. L’accès à ces ressources par le cloud libère les entreprises de ces problématiques.
2. Obsolescence et mutualisation
Contrairement aux serveurs traditionnels, les infrastructures spécialisées dans l’IA connaissent une obsolescence rapide. De plus, leur taux d’utilisation peut être faible ou irrégulier, ce qui renforce l’intérêt d’une mutualisation des ressources par le biais du cloud. Cette approche permet aux entreprises d’accéder à des ressources de pointe sans avoir à les posséder, ni à les gérer directement.
“Une mutualisation des ressources par le biais du cloud permet aux entreprises d’accéder à des ressources de pointe sans avoir à les posséder, ni à les gérer directement.”
3. Compétences rares et stratégiques
L’IA nécessite des compétences pointues (science des données, MLOps, sécurité des modèles, etc.) que peu d’entreprises possèdent en interne. Le cloud permet ici encore de s’appuyer sur des offres clé en main, tout en bénéficiant d’un accompagnement technique spécialisé.
« L’essor de l’IA et la recrudescence des cyber-menaces imposent une réinvention de nos infrastructures numériques. Le cloud de confiance, en conjuguant puissance, sécurité et conformité, s’impose comme le socle incontournable d’un avenir numérique durable. »
Les données, matériaux stratégiques de l’IA
Les modèles d’IA tirent leur intelligence des données qu’ils analysent. Souvent issues de l’activité même de l’entreprise, ces données peuvent être extrêmement sensibles (brevets, dossiers clients, documents RH, stratégies commerciales, etc.). Leur traitement dans le cloud pose donc des questions de confidentialité, d’intégrité et de conformité.
Dès lors que l’IA devient un levier de création de valeur stratégique, la nécessité de garantir un hébergement conforme, sûr et réversible s’impose.
Le rôle clé du cloud de confiance pour l’IA
Le cloud de confiance se développe aujourd’hui en France (et bientôt à l’échelle européenne avec le référentiel EUCS) en apportant aux entreprises et administrations les réponses qui leur permettent de développer leurs projets autour de l’IA en toute sérénité. En effet, la promesse du cloud de confiance, c’est :
- • la disponibilité et la mutualisation des équipements physiques nécessaires pour les projets IA (serveurs puissants, GPU, stockage, etc.) ;
- les briques de services PaaS qui facilitent l’utilisation de ces ressources ;
- le plus haut niveau de qualification pour garantir la sécurité des données, du point de vue cyber et réglementaire.
L’essor de l’IA et la recrudescence des cyber-menaces imposent une réinvention de nos infrastructures numériques. Le cloud de confiance, en conjuguant puissance, sécurité et conformité, s’impose comme le socle incontournable d’un avenir numérique durable. Pour les entreprises, il ne s’agit plus seulement de choisir un prestataire technique mais un partenaire stratégique capable de porter leurs ambitions en toute confiance.
Les certifications françaises et européennes : vers un alignement d’EUCS sur SecNumCloud ?
Depuis les années 2000, le développement rapide du cloud s’est opéré dans un cadre normatif relativement flou. Cette liberté initiale a permis l’émergence d’innovations majeures mais a également suscité des inquiétudes sur la sécurité et la fiabilité des fournisseurs.
Face à ces enjeux, la France a été pionnière avec la mise en place du référentiel SecNumCloud par l’ANSSI. Cette certification, fondée sur des exigences techniques, organisationnelles et juridiques élevées, permet d’identifier les fournisseurs de cloud en mesure de garantir un haut niveau de sécurité. En 2024, l’ouverture de SecNumCloud aux données à diffusion restreinte marque une nouvelle étape dans sa maturité et sa reconnaissance institutionnelle.
« Dans une Europe qui peine à voir émerger des champions nationaux, la certification devient ainsi un langage commun, un gage de transparence et de réassurance pour les entreprises et les administrations. »
Dans le même temps, à l’échelle européenne, l’Enisa travaille depuis 2018 à l’élaboration d’un EU Cloud Services Scheme (EUCS). Cette initiative vise à harmoniser les standards de sécurité pour les services cloud dans tous les États membres. L’objectif est clair : créer un socle commun qui transcende les barrières linguistiques, culturelles et juridiques et favorise la reconnaissance mutuelle entre États, condition indispensable à l’émergence d’un marché numérique européen unifié.
Dans une Europe qui peine à voir émerger des champions nationaux, la certification devient ainsi un langage commun, un gage de transparence et de réassurance pour les entreprises et les administrations. L’enjeu pour l’Europe est de trouver le bon équilibre entre un cadre commun suffisamment ambitieux et la reconnaissance des exigences déjà en vigueur dans certains pays, comme celles du référentiel SecNumCloud.
Dans cette optique, développer un cadre avec plusieurs niveaux d’exigence permettra aux différentes géographies qui ont déjà des référentiels en place (C5 en Allemagne, ENS en Espagne, SecNumCloud en France…) de s’y retrouver. Cela permettra aussi aux donneurs d’ordre de demander un niveau de qualification en adéquation avec le niveau de sécurité requis par leurs projets et le degré de sensibilité de leurs données.
L’alignement du plus haut niveau de l’EUCS sur le niveau d’exigence de SecNumCloud est ainsi une marque forte de reconnaissance de la valeur du référentiel développé par l’ANSSI.
Au-delà des critères techniques et opérationnels, le débat porte aujourd’hui sur l’introduction d’un niveau « High+ » au sein d’EUCS, intégrant des critères de sécurité réglementaire – notamment vis-à-vis du droit extraterritorial.
Il ne s’agirait pas d’une obligation généralisée mais d’un niveau optionnel, que les acheteurs publics ou privés pourraient exiger selon leurs besoins. Refuser cette option reviendrait à nier aux États et aux entreprises le droit de se protéger davantage. Dans un contexte géopolitique et cyber tendu, la capacité de choisir un cloud alliant haute sécurité technique et indépendance juridique devrait être non seulement permise mais encouragée. L’alignement d’EUCS sur SecNumCloud, en incluant ce niveau High+, serait une avancée stratégique vers une souveraineté numérique européenne réelle et cohérente.
NumSpot propose une offre de cloud indépendant et souverain. L’entreprise est née de la volonté de quatre sociétés françaises des secteurs public et privé : Banque des Territoires, Docaposte, Dassault Systèmes et Bouygues Telecom.
TÉMOIGNAGE
La mutuelle MGEN adopte un modèle plateformisé avec S3NS
MGEN, une marque du groupe VYV, première mutuelle des agents du service public, évolue, avec S3NS en appui, vers un modèle de mutuelle plateformisée, au service de ses 4,6 millions d’adhérents.
La transformation numérique de MGEN, qui gère l’assurance maladie et la complémentaire santé et prévoyance de plus de 4,6 millions de personnes, s’inscrit dans le contexte de réforme de la protection sociale complémentaire (PSC) de la fonction publique, qui va permettre à au moins 5,5 millions d’agents de la fonction publique d’être couverts par un contrat collectif d’assurance santé, comme le sont déjà les salariés du secteur privé, d’ici le 1er janvier 2026. En collaboration avec S3NS, issu du partenariat entre Thales et Google Cloud, MGEN s’est engagée dans une transformation profonde de ses infrastructures et de son modèle économique pour accompagner cette bascule de l’individuel vers le collectif, se différencier dans un marché en pleine standardisation et faire émerger de nouveaux relais de croissance. MGEN est client de S3NS depuis 2023, sur l’offre contrôles locaux.
Un nouveau SI capable d’accueillir jusqu’à 6 millions de personnes
des agents du service public. © MGEN
Le nouveau SI plateformisé s’appuie sur S3NS pour proposer des parcours numériques « en marque blanche » et un écosystème modulaire capable de s’intégrer et de s’interfacer avec d’autres mutuelles et acteurs de la santé : maisons de santé, chercheurs, personnel de santé, services administratifs, laboratoires, fournisseurs de dispositif médicaux, etc. « Ce nouveau système d’information sera en capacité d’accueillir jusqu’à 6 millions de personnes, protégées avec un haut niveau de performance, en s’appuyant sur un acteur majeur français en mesure de proposer des services SI à forte valeur ajoutée, tout en garantissant sécurité et souveraineté », se réjouit Arnaud Méjean, DSI de MGEN et directeur général de MGEN Technologies.
Un modèle industriel « as a service »
Ce modèle industriel « as a service » est plus performant et plus adaptable, assure la mutuelle, et il permet de limiter les coûts informatiques. La solution proposée conjugue le portefeuille de services, les capacités d’analyse et d’IA de Google Cloud et le respect des exigences juridiques, techniques et opérationnelles de la qualification SecNumCloud 3.2, que S3NS attend au troisième trimestre 2025, garantissant une protection contre les lois extraterritoriales qui vient compléter la qualification HDS (Hébergeur de Données de Santé). « Leur ambition de créer une plateforme mutualiste est un très bon exemple de ce que permet le cloud de confiance lorsqu’il est mis au service d’un domaine aussi stratégique que celui de la santé, où la sécurité des données, la transparence et la souveraineté sont des enjeux vitaux », souligne Cyprien Falque, directeur général de S3NS.
Juliette Paoli
