Le registre régional d’adresses IP pour l’Europe, le Moyen-Orient et une partie de l’Asie centrale veut réduire sa dépendance aux hyperscalers américains. Pour les organisations critiques, une même question demeure. Où placer la limite entre efficacité cloud, résilience technique et maîtrise réelle des dépendances numériques ?
Le cloud souverain est souvent présenté comme une affaire de localisation des données ou de nationalité du fournisseur. Le cas du RIPE NCC montre que le sujet est plus exigeant. Pour un acteur qui participe au fonctionnement de l’Internet européen, il ne suffit pas de choisir une infrastructure conforme ou plus rassurante. Il faut déterminer quels services peuvent être confiés au cloud, à quelles conditions, avec quelles garanties de réversibilité et quel niveau d’exposition aux grands fournisseurs mondiaux.
Le RIPE NCC, registre régional chargé notamment de l’allocation des adresses IP en Europe, au Moyen-Orient et dans une partie de l’Asie centrale, ne rejette pas le cloud. Il en utilise déjà certaines briques. Mais il encadre cette utilisation par une stratégie formalisée, publiée sur RIPE Labs, qui classe les exigences selon la criticité des services. Le document distingue notamment les besoins de disponibilité, de résilience, de conformité, de limitation du verrouillage fournisseur et d’absence de dépendance à un seul prestataire.
Cette approche donne au débat sur la souveraineté une forme plus concrète. Tout ne relève pas du même niveau de sensibilité. Un outil d’inscription à un événement, une plateforme de réunion, un service de recherche sur des données RIPE Atlas ou une brique d’authentification n’impliquent pas les mêmes risques qu’un service critique au cœur du fonctionnement du registre. Le RIPE NCC publie d’ailleurs une page de transparence listant les services déjà hébergés dans le cloud, avec des fournisseurs comme AWS, Google, Akamai, Hetzner ou Linode, tous avec une résidence des données indiquée dans l’Union européenne.
Réduire la dépendance sans renoncer aux usages cloud
Le point intéressant n’est donc pas un rejet total du cloud américain. Il tient plutôt à la volonté de réduire une dépendance trop forte, surtout pour les services les plus sensibles. Lors d’un RIPE Meeting, une représentante d’AWS a rappelé l’existence de l’AWS European Sovereign Cloud face aux interrogations sur les hyperscalers américains. Dans sa documentation, AWS présente cette offre comme un cloud indépendant pour l’Europe, situé dans l’Union européenne, doté d’une gouvernance dédiée et opéré par des personnels basés dans l’UE.
Ces garanties peuvent répondre à une partie des inquiétudes des clients publics ou des secteurs régulés. Elles ne suffisent toutefois pas à épuiser le débat. Pour un acteur comme le RIPE NCC, la souveraineté touche aussi à la capacité de changer de fournisseur, de maintenir un service en cas de tension juridique ou commerciale, de répartir l’infrastructure et d’éviter qu’un pan trop large du fonctionnement repose sur un même écosystème technique.
La réversibilité comme critère de souveraineté
La stratégie cloud du RIPE NCC insiste sur un point que beaucoup d’organisations citent, mais appliquent difficilement. Le verrouillage fournisseur doit être mesuré, réduit et assumé. Pour les services les plus critiques, le RIPE NCC privilégie des briques comme les machines virtuelles, le bare metal ou les conteneurs, plutôt que des services managés trop spécifiques. Pour des services moins sensibles, l’usage de services managés reste possible, mais avec une attention portée aux coûts et délais de sortie.
Cette distinction évite deux écueils fréquents. Le premier consiste à considérer que tout usage du cloud est incompatible avec la souveraineté. Le second revient à croire qu’une offre estampillée souveraine suffit à effacer les dépendances. Dans les deux cas, le raisonnement reste trop simple pour des systèmes d’information complexes.
Une organisation doit savoir combien de temps il lui faudrait pour relancer un service ailleurs, quelles données et quels traitements seraient concernés, quels standards ouverts sont utilisés, et ce qu’elle perdrait en quittant un fournisseur. Cette discipline est moins visible qu’une annonce marketing, mais elle constitue le cœur de la souveraineté opérationnelle.
