Le cloud souverain, de la sémantique et surtout de la technologie

Entre exigences techniques, jeux d’influence et frilosité politique, le cloud dit souverain peine encore à trouver son assise. Mais certains acteurs entendent bien renverser la table.

La souveraineté, ce n’est pas du storytelling. C’est de l’ingénierie. » La formule est de David Chassan, directeur de la stratégie d’Outscale (groupe Dassault Systèmes). Une mise au point salutaire dans un paysage où les promesses de cloud souverain se multiplient, souvent réduites à une simple couche de vernis marketing ou à une mention en bas de contrat : derrière les discours, ce sont des architectures, des capitaux, des chaînes de décision et des garanties juridiques qui font la différence.

Incontournable ou presque sur ce sujet, l’ANSSI, avec son référentiel SecNumCloud, a quelque chose de Jack Byrnes, le personnage incarné par Robert De Niro dans Mon beau-père et moi. Lui aussi veille sur son « cercle de confiance » avec une rigueur quasi paranoïaque : on n’y entre qu’après une enquête minutieuse, sous haute surveillance, et le moindre faux pas vous en exclut. C’est à peu près la philosophie de l’ANSSI. Pas de passe-droit, pas de confiance aveugle – chaque critère, qu’il soit juridique, technique ou organisationnel, doit être démontré et opposable : la version 3.2 (voir encadré) se compose d’un ensemble structuré de plus de 360 exigences réparties sur 14 thèmes de sécurité –, gravant, ligne après ligne, la frontière entre le prestataire et l’acteur véritablement jugé souverain.

Et le bât blesse parfois pour certains acteurs mondiaux, comme l’a montré l’audition tendue de Microsoft France au Sénat. Anton Carniaux, directeur des affaires publiques et juridiques du groupe, a dû y reconnaître, sous serment, son impuissance à garantir que les données des citoyens français hébergées via l’Ugap ne seraient jamais accessibles à Washington en cas d’injonction. Une réponse qui confirme l’incapacité d’un acteur pourtant majeur à s’extraire des filets juridiques extraterritoriaux, du Cloud Act au FISA.

Un cloud souverain encore balbutiant

La rigueur proposée par l’ANSSI n’est pas qu’un rempart juridique. Elle impose aussi un haut niveau de résilience technique : chiffrement systématique, plan de continuité éprouvé, audits réguliers, supervision des incidents… Et surtout, la transparence opérationnelle : qui fait quoi, qui peut accéder à quoi, et selon quelle procédure. Dans un monde où les tuyaux passent partout, mais où le contrôle reste fondamental, SecNumCloud ne garantit pas qu’il n’y ait pas d’oreilles, mais exige que toutes soient connues, identifiées et autorisées par la République.

Mais à cause de ces exigences peut-être et des coûts qu’elles entraînent, le marché du « cloud » dit souverain est encore balbutiant. Selon la Dinum, moins d’un tiers des projets correspondant aux dépenses cloud passées par l’Ugap en 2023 (132 M€ au total) respectent les critères SecNumCloud. Dans la pratique, les offres souveraines sont rarement retenues, car elles ne correspondent pas au principe du « moins disant » des appels d’offres publics.

À l’échelle européenne, la situation n’est guère plus claire. L’EUCS – European Cybersecurity Certification Scheme, censé harmoniser les niveaux d’exigence entre États membres – patine. L’idée d’en faire un référentiel paneuropéen aligné sur SecNumCloud, avec un niveau de sécurité élevé (« High+ »), divise profondément. Trop strict pour certains, trop flou pour d’autres, l’EUCS peine à incarner un socle commun crédible. Faute de ligne claire, l’Europe fragmente là où elle devrait unifier.

C’est dans ce paysage encore instable que s’inscrit NumSpot, acteur français né d’un consortium réunissant Docaposte (La Poste), Dassault Systèmes, Bouygues Telecom et la Banque des Territoires (Caisse des Dépôts). Sa mission : offrir une alternative souveraine crédible, conforme au référentiel de l’ANSSI, et totalement indépendante des législations extraterritoriales. Son CEO, Éric Haddad, observe le marché avec lucidité : « C’est un marché en construction. Il va grandir, mais il y aura sûrement des consolidations entre acteurs. » À ses yeux, la souveraineté ne peut être un simple positionnement commercial : « Les clients ne sont pas idiots. Ils comprennent que le “cloud souverain” brandi sur des slides par certains hyperscalers ne répond pas aux vrais sujets de résilience. »

Plus qu’une simple protection contre la loi extraterritoriale, l’enjeu porte sur la maîtrise technologique et opérationnelle : « Ce n’est pas tant la menace d’une réquisition de données qui inquiète les entreprises, mais la dépendance aux mises à jour critiques. Si elles ne sont plus faites, tout s’arrête. » Une souveraineté crédible, insiste-t-il, suppose une autonomie réelle des chaînes techniques, une capacité à coexister dans des environnements hybrides, et un écosystème européen structuré.

Des contournements façon Lego

Dans ce jeu d’équilibriste entre innovation technologique et souveraineté juridique, le projet Bleu se voudrait exemplaire. Fruit d’une alliance entre Orange, Capgemini et toujours et encore Microsoft, il incarne l’effort de conciliation entre la puissance logicielle d’un hyperscaler et les exigences de contrôle définies par l’ANSSI. « Cette société est à 100 % française », tient à rappeler Pierre Lagarde, directeur technique secteur public de Microsoft France. Le projet Bleu a ainsi été conçu comme une entité juridiquement étanche, technologiquement autonome et opérationnellement indépendante, capable d’exploiter Azure sans en subir les contraintes légales. C’est là tout l’enjeu du montage : proposer une infrastructure de classe mondiale, tout en garantissant que la souveraineté numérique française ne soit ni contournée, ni compromise.

La rigueur proposée par l’ANSSI n’est pas qu’un rempart juridique. Elle impose aussi un haut niveau de résilience technique. Face à la doctrine stricte portée par l’ANSSI, certains autres acteurs comme Oracle défendent une vision davantage fondée sur l’opérationnalité réelle que sur la seule nationalité du capital. Résumé de Damien Rilliard, senior director en charge de la souveraineté cloud chez Oracle EMEA : « La souveraineté, c’est une question simple : qui contrôle, et sous quelle législation ? » Selon lui, il existe deux formes de contrôle complémentaires : un contrôle de nature économique et politique – celui que cherche à encadrer l’ANSSI via la détention majoritaire européenne – et un contrôle opérationnel, plus proche du terrain, basé sur la capacité effective d’un client à tracer, journaliser, couper ou isoler tout accès à ses données.

Plutôt que d’opposer les modèles, Oracle propose un portefeuille modulaire de clouds distribués, où chaque architecture s’adapte au degré de sensibilité des données et aux exigences réglementaires applicables – RGPD, NIS2, LPM, DORA, voire SecNumCloud le cas échéant. De l’hébergement localisé sans présence Oracle (AirGap) à une région cloud 100 % européenne opérée localement, en passant par les offres Cloud@Customer ou Alloy, Oracle revendique une approche pragmatique, centrée sur l’usage et le risque. « Nous n’avons pas une réponse unique. Nous avons un nuancier, poétise Damien Rilliard. Dans notre cloud souverain, la liste des sous-processeurs est vide. » Autrement dit : il n’y a pas qu’un seul cercle de confiance. Il y a des cercles concentriques, des degrés d’exigence, et des modèles juridiques ou techniques adaptés à chaque usage.

La souveraineté et ses multiples interprétations

Là où l’ANSSI trace une ligne rouge claire – l’immunité aux lois extraterritoriales – des acteurs globaux comme Oracle tentent donc de prouver qu’une architecture bien pensée peut, en pratique, offrir un niveau de contrôle équivalent, voire supérieur. Même son de cloche chez Stephan Hadinger, directeur technologie d’AWS France, pour qui la souveraineté ne saurait se réduire à une posture réglementaire ou à un label. Elle doit selon lui s’incarner dans l’architecture des systèmes. « La posture dans laquelle nous nous sommes mis […] est effective depuis mai 2023 : si une autorité quelconque nous demande de fournir les données déchiffrées – européenne, américaine, agence de renseignement, justice – nous en sommes incapables. Et de préciser : Notre approche a été de supprimer la clé du coffre. Il n’y a plus personne chez nous qui puisse l’ouvrir. Il n’y a que le client. » Cette stratégie repose sur la technologie Nitro, garantissant que le chiffrement soit entièrement contrôlé par le client.

Ce positionnement heurte cependant certaines attentes souverainistes en France. En 2024, AWS a choisi de renoncer à héberger les données sensibles d’EDF plutôt que d’accepter un engagement contractuel explicite de non-transmission aux autorités américaines, comme l’a révélé Le Canard enchaîné. Selon Stephan Hadinger, « refuser de signer ne signifie pas vouloir accéder aux données, mais reconnaître qu’un engagement unilatéral sur des lois extraterritoriales est juridiquement intenable ». Il défend une conception de la souveraineté opérationnelle et contractuelle plutôt que dogmatique : « Il faut contractualiser avec des clauses hyper précises. On a le droit d’accepter ou de refuser. »

Un vœu pieux si la volonté politique ne suit pas

Pour David Chassan, le débat ne peut pas se réduire à un clivage binaire entre cloud souverain et cloud de commodité. Il faut au contraire penser en termes de complémentarité raisonnée, à la manière des Allemands pour faire un choix éclairé en fonction de la sensibilité des données, et non en fonction de l’étiquette apposée sur l’offre.

Au-delà du cadre technique, il alerte sur un impensé plus profond : la souveraineté est aussi un enjeu industriel et économique, indissociable de la politique de réindustrialisation du pays. Or, à ses yeux, les marchés publics français – et plus largement européens – restent timorés. « Nous devrions, comme les Américains avec le FedRAMP [Le référentiel de sécurité cloud des agences fédérales américaines, axé sur la conformité, NDLR], assumer une préférence européenne. Eux le font, à la manière des poupées russes, en dissimulant le critère de nationalité derrière des contraintes techniques. Pourquoi pas nous ? »

La clé résiderait donc dans la mise en œuvre d’une véritable stratégie industrielle, structurée via des instances comme le Comité Stratégique de Filière (CSF) récemment lancé. « Il faut articuler offre et demande, clarifier ce que sont des données sensibles, et créer une dynamique vertueuse entre acteurs publics et industriels. On ne change pas d’infrastructure comme on change de chemise, mais on peut créer un mouvement, crédible, durable, assumé. » Le cloud souverain, conclut-il, ne pourra émerger sans une volonté claire d’afficher une étiquette bleu-blanc-rouge, non comme un repli, mais comme une affirmation de capacité industrielle européenne. Une ambition qui dépasse la seule sécurité des données pour toucher au cœur de l’autonomie stratégique.

---

Le futur ne se subit pas, il se chiffre

La souveraineté n’est pas une posture. C’est une décision à géométrie variable, fondée sur l’usage, l’exposition, le niveau de menace pesant sur les données. Et parmi ces menaces, le Harvest Now, Decrypt Later (HNDL) — collecter aujourd’hui des flux chiffrés pour les décrypter demain. Face à cette perspective, Damien Rilliard, le responsable de la stratégie cloud souverain chez Oracle EMEA nuance : le chiffrement compte, certes, mais la gestion des clés est décisive. « Nous avons un partenariat fort avec Thales. Et chez nous, les clés ne sortent jamais du périmètre du client. C’est fondamental. » Pour les environnements les plus critiques, Oracle va plus loin, en intégrant déjà des briques post-quantiques conçues dans le sillage des recommandations du NIST. Signe que la souveraineté ce n’est pas que protéger le présent, c’est aussi anticiper le choc du futur.

---

SecNumCloud : un parcours qualifiant à haut niveau d’exigence

Obtenir la qualification SecNumCloud impose un processus rigoureux en quatre étapes (J0 à J3) ‒ du dépôt du dossier à la délivrance du Visa ‒, encadré par l’ANSSI. Mais ce n’est pas un aboutissement figé : la qualification, valable trois ans, est assortie de suivis annuels par des audits de surveillance. Avant son terme, le prestataire peut solliciter son renouvellement, en réitérant le parcours d’évaluation et en remettant à jour les preuves de conformité. Passé ce délai ‒ examens réguliers et mises à jour techniques ‒, la vigilance ne s’arrête jamais.

---

À LIRE AUSSI :

Gouvernance

Souveraineté numérique : l’heure des choix

François Jeanne

24 Oct