La question à se poser n’est plus « Faut-il un cloud souverain ? », elle est devenue « Quelles briques du SI doivent relever d’un niveau de confiance fort et comment les articuler avec un multicloud qui reste gouvernable ? ».
Opposer cloud souverain et hyperscalers américains relevait de la posture ; le confondre avec la seule localisation physique des données était une erreur. Ce qui s’impose aujourd’hui aux DSI, c’est une discipline d’architecture : cartographier les usages, qualifier les risques, choisir ses dépendances et gouverner l’ensemble sans se noyer dans la complexité. Cinq experts décryptent les arbitrages qui structurent désormais les stratégies SI.
Un terme galvaudé, une réalité qui s’impose
Demandez à dix acteurs du marché ce que signifie « cloud souverain » et vous obtiendrez dix réponses différentes. « Ce terme a tellement été galvaudé par le marketing, en particulier par certains acteurs américains, qu’il a perdu toute signification », constate Éric Haddad, P-DG de Numspot. Il cite en exemple un géant américain qui se revendique souverain en Europe au motif qu’il aurait placé des opérateurs dotés d’une carte d’identité européenne à la tête de ses filiales. « Ils ont une définition qui n’est pas communément acceptée par tout le monde. »
Conséquence directe : les organisations se retrouvent face à des offres qui affichent la souveraineté comme argument de vente sans que les garanties réelles suivent. Arnaud Torres, directeur du conseil chez Fujitsu France, observe le phénomène au quotidien : « Il est très facile de succomber à certains mots-clés déposés dans une offre. Si un acteur mondial ajoute le terme “souverain” à son offre, certains pensent qu’ils sont en sécurité. Sauf que ce n’est pas la réalité. »
Trois niveaux de souveraineté à ne pas confondre
Pour sortir de l’ambiguïté, David Chassan, directeur de la stratégie chez Outscale, propose une grille sur trois niveaux. Le premier est la souveraineté des données : la localisation dans une zone juridique propre, en France ou en Europe. Le deuxième est la souveraineté opérationnelle : l’assurance que les équipes du prestataire sont établies en Europe et n’ont pas d’autres nationalités susceptibles de les soumettre à des obligations extraterritoriales. Le troisième – et le plus souvent négligé – est la souveraineté technologique : quelle est la maîtrise du prestataire sur sa propre technologie, sa propre feuille de route, sa propre trajectoire ? C’est pourtant ce qu’il y a de plus essentiel.
Séverine Denys, directrice des affaires institutionnelles de Docaposte (également membre d’Hexatrust), complète ce tableau en pointant le piège contractuel : « Des opérateurs non européens peuvent affirmer certaines choses dans leurs engagements contractuels mais ils n’en sont pas moins liés à leur propre cadre juridique, qui est contradictoire avec le cadre juridique européen. » Cette distorsion entre l’affirmation commerciale et la réalité légale est, selon elle, l’une des principales sources de malentendu. Vérifier quel cadre juridique s’applique réellement, indépendamment du discours marketing, est donc une étape indispensable de toute analyse de risque.
Ce n’est pas le périmètre qui compte, c’est l’usage
Face à la complexité du sujet, la tentation est grande de cartographier le SI en silos – infrastructure, données, applications, plateformes – et d’appliquer un niveau de protection à chacun. Éric Haddad (Numspot) s’inscrit en faux contre cette approche : « C’est l’usage qui est le discriminant, pas le périmètre. » Ainsi, une donnée anodine stockée chez un hyperscaler américain ne pose aucun problème particulier. En revanche, une application de consolidation financière qui traite des informations hautement sensibles doit impérativement tourner sur une infrastructure qualifiée. Et une application critique qui ne contient aucune donnée sensible peut tout de même justifier une solution souveraine si le risque de kill switch – c’est-à-dire une interruption unilatérale de service décidée depuis l’étranger – est jugé inacceptable.
Guillaume Poitier, directeur des solutions logicielles et multicloud chez SoftwareOne, défend la même logique depuis la position de l’intégrateur : « On regarde les workloads, la criticité des données, les usages et les dépendances mais on voit aussi les choses sous un regard économique. La qualification a un coût parce que, derrière elle, il y a des réalités physiques dans le datacenter et les cahiers des charges. On essaie d’avoir le bon équilibrage entre criticité des données, besoin de sécurité et possibilité d’innover au bon prix. »
Résilience ou souveraineté : deux objectifs, deux stratégies
Éric Haddad introduit une distinction que le marché tend à confondre. La résilience, c’est la capacité à basculer sur une infrastructure alternative si l’une des principales défaille – une préoccupation essentiellement technique et économique. La souveraineté, c’est la protection contre toute ingérence extraterritoriale – une exigence juridique et politique. « Les entreprises internationales cherchent plutôt la résilience. Les institutions publiques souhaitent la souveraineté. Ce sont deux logiques différentes qui peuvent coexister dans le même SI mais qu’il faut savoir nommer correctement. »
Cette distinction éclaire également la question du legacy IT, souvent absent des débats sur la souveraineté. Arnaud Torres remet les choses en perspective : « On sait que le legacy est là, et les raisons pour lesquelles il est là font qu’il va y rester. S’il ne présente pas de risque de sécurité, s’il est isolé, il sera généralement plus facile à intégrer dans un datacenter souverain que chez un hyperscaler américain – on n’envoie pas ses serveurs physiques chez un des trois grands. » La modernisation sans rupture n’est pas plus complexe dans un environnement souverain que dans un cloud public : c’est une question de méthode.
La gouvernance avant tout
Si le multicloud est une réalité dans la grande majorité des organisations, il n’en est pas moins une source de complexité croissante si les règles du jeu ne sont pas posées dès le départ. Arnaud Torres est direct : « On ne peut pas avoir cinq systèmes de monitoring et cinq systèmes de backup. Rien que pour les opérations les plus simples, ça devient infernal à gérer. L’optimisation des coûts devient aussi plus compliquée. La gouvernance, c’est la clé. »
Les organisations qui s’en sortent le mieux sont celles qui ont posé des règles claires dès leur première adoption du cloud. « Qu’est-ce que j’envoie dans le cloud ? Qu’est-ce que je garde on premise ? Pourquoi ? Quel est le critère ? » Celles qui ont répondu à ces questions avant d’agir n’ont pas de mal à introduire une nouvelle solution souveraine. Celles qui ont eu une approche opportuniste – choisir le cloud qui offrait le meilleur accompagnement commercial du moment – se retrouvent aujourd’hui avec un patrimoine applicatif dispersé et peu lisible.
« Si vous n’avez pas d’alternative et que vous êtes pieds et poings liés avec un provider, vous avez acheté de la simplicité mais sans redondance et en étant pris dans les modèles commerciaux de ces acteurs, dont on voit au quotidien qu’ils sont extrêmement agressifs », d’après Guillaume Poitier.
Choisir ses dépendances plutôt que les nier
La maturité sur ce sujet se mesure à la capacité d’accepter une vérité inconfortable : il n’existe pas de SI sans dépendances. Guillaume Poitier le formule clairement : « Un client qui refuse d’aller sur un cloud américain et qui part sur une approche strictement on premise open source sera lui aussi dépendant de la façon dont sont gérés ces codes sources et de la Linux Foundation, elle aussi américaine. Le sujet, c’est de choisir sa dépendance. »
La localisation des données en France ou en Europe ne suffit pas. Un serveur à Paris opéré par une entité soumise au droit américain, c’est de la souveraineté d’affichage
Séverine Denys (Docaposte) complète cette analyse en recadrant la notion de souveraineté : « La souveraineté, ce n’est pas le souverainisme. Ce qui est soutenu ici, ce n’est pas de remplacer la totalité des prestataires non européens. En induisant cette idée-là, on crée une situation d’échec intellectuellement. L’objectif, c’est de garder la capacité à produire nos services dans notre modèle économique et social en faisant grandir les opérateurs européens qui ont déjà la capacité. »
Le cas VMware illustre mieux que tout discours le coût réel de la dépendance non choisie. David Chassan (Outscale) le rappelle : « Beaucoup de clients se sont engouffrés dans VMware. Ils ont appris récemment que le coût de licence avait été multiplié par trois, par cinq et pour certains par dix. Ça change le jeu. » Le vrai coût du cloud, c’est donc celui de la dépendance – pas la ligne de facturation mensuelle.
Une approche par workload qui suppose une maturité réelle
L’approche par workload, unanimement défendue par les experts interrogés, a une limite pratique : elle suppose que l’organisation sache précisément ce qu’elle a. Or, cartographier les flux de données d’un SI complexe – avec ses couches de legacy, ses applications rachetées lors d’acquisitions et ses environnements cloud qui ont été déployés opportunément au fil des années – est un chantier en soi.
Arnaud Torres en témoigne avec un exemple concret : « Nous avons accompagné un client dont le projet de move to cloud a dû s’arrêter parce qu’il n’y avait pratiquement aucun système qui ne comportait pas une donnée inéligible au cloud public. Ces systèmes, relativement legacy, ont finalement atterri dans un datacenter physique appartenant au client. C’était impossible autrement. » Conclusion : « On peut aider le client à se poser les bonnes questions mais c’est lui qui connaît sa donnée. Il faudrait passer des mois à ses côtés pour la comprendre aussi bien que lui. »
Un marché qui se dynamise
La prise de conscience politique, quoique tardive, a accéléré les choses. Guillaume Poitier le note : « Il y a encore 18 mois, le nombre d’acteurs certifiés SecNumCloud se comptait sur les doigts d’une main. Aujourd’hui, c’est un marché qui se dynamise énormément. » Le référentiel SecNumCloud de l’ANSSI, même s’il reste franco-français dans l’attente d’un standard européen commun, dont la construction se heurte aux mêmes difficultés politiques que les autres projets d’intégration continentale, constitue aujourd’hui le niveau de certification le plus élevé disponible en Europe.
Je ne crois pas aux scénarios de cloud souverain only, sauf pour des activités très spécifiques. La réalité qui s’imposera chez la plupart des clients, c’est le multicloud
Fujitsu apporte une perspective singulière sur ce terrain. Acteur japonais, il opère en Europe depuis une position neutre – ni américaine ni chinoise – et se retrouve naturellement aligné avec les valeurs européennes en matière de protection des données. « L’Europe et le Japon ont une vision assez similaire. Les Japonais sont proches de nous sur ces sujets », confirme Arnaud Torres. En interne, Fujitsu a même choisi de dépasser les exigences de l’AI Act européen : tout projet d’IA doit passer une évaluation interne avant qu’une réponse puisse être apportée au client, garantissant ainsi un niveau de conformité systématique, indépendamment du choix d’hébergement retenu.
De la posture à la discipline
La souveraineté numérique est en train de muer. Elle était un débat politique et un argument marketing ; elle devient une discipline d’ingénierie. Cartographier les usages, qualifier les risques par workload, choisir ses dépendances en connaissance de cause, gouverner l’ensemble avec une rigueur opérationnelle : voilà ce que le terrain impose aujourd’hui aux DSI.
Le multicloud n’est pas le problème, c’est la réponse à une réalité que personne ne peut ignorer. Mais cette réponse ne tient que si elle est architecturée, et dans cette architecture, la place du cloud souverain n’est ni marginale ni absolue : elle est celle que la donnée, l’usage et le risque lui assignent.
Les critères pour distinguer une vraie offre souveraine
Éric Haddad (Numspot) plaide pour une évaluation sur des critères entièrement factuels :
- qualification SecNumCloud de l’ANSSI (le niveau de certification le plus élevé en Europe) ;
- certification Iso 27001 pour les processus ;
- capital 100 % européen, sans filiale extra-européenne (chaque filiale hors Europe constitue une porte d’entrée potentielle) ;
- licensing 100 % open source sans dépendance à un éditeur soumis à une juridiction étrangère.
Fujitsu s’appuie de son côté sur un référentiel Gartner en huit critères, partagé avec le client dès la phase de conseil pour l’aider à s’autoévaluer et à définir sa cible.
Quels workloads pour quel niveau de confiance ?
Quelques repères issus du terrain, à adapter selon le contexte de chaque organisation.
Cloud souverain recommandé : consolidation financière et données comptables stratégiques, propriété intellectuelle et R&D, applications liées à des contrats de défense ou au secteur de l’énergie, données personnelles soumises à des exigences RGPD renforcées.
Hyperscaler acceptable sous conditions : environnements de développement et de test, applications ouvertes au public, outils collaboratifs génériques, données non sensibles à fort volume nécessitant une élasticité importante.
Point de vigilance souvent sous-estimé : les applications critiques sans donnée sensible. Leur indisponibilité à la suite d’un incident géopolitique ou commercial peut être aussi dévastatrice qu’une fuite de données.
Par Charlotte Rabatel
