Cloud Souverain pour la Défense : Alternatives Européennes aux Hyperscalers Américains

Les organisations de défense européennes qui s'appuient sur les hyperscalers cloud américains — Amazon Web Services, Microsoft Azure, Google Cloud Platform — font face à un risque de souveraineté qui était largement théorique jusqu'à récemment : la capacité du gouvernement américain à contraindre ces fournisseurs à divulguer des données stockées par des gouvernements et des militaires étrangers, ou à restreindre l'accès aux services dans le cadre des régimes américains de contrôle des exportations ou de sanctions.

Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) permet aux forces de l'ordre fédérales américaines de contraindre les fournisseurs cloud dont le siège est aux États-Unis à produire des données stockées n'importe où dans le monde, indépendamment des lois locales de protection des données. Pour les données de défense européennes — même les données opérationnelles non classifiées — cela crée une voie légale pour l'accès du gouvernement américain qui est incompatible avec les exigences de souveraineté des données. Le risque n'est pas théorique : les systèmes judiciaires de l'UE ont à plusieurs reprises remis en question la base juridique des transferts de données UE-États-Unis précisément en raison de l'exposition au CLOUD Act.

Le Problème de Souveraineté pour la Défense Européenne

La préoccupation de souveraineté pour les organisations de défense européennes opérant sur l'infrastructure des hyperscalers américains comporte trois dimensions : la divulgation forcée (le CLOUD Act et des instruments juridiques similaires permettent au gouvernement américain d'accéder aux données), les restrictions de service unilatérales (les régimes de sanctions ou les décisions politiques pourraient entraîner la restriction ou la cessation de service par des fournisseurs américains à des entités européennes spécifiques) et la dépendance technologique (l'intégration technique profonde avec des services cloud américains propriétaires crée des coûts de changement et des dépendances stratégiques géopolitiquement problématiques pour les organisations de défense).

La première dimension est juridique et permanente — elle est inhérente à la structure corporative américaine des fournisseurs hyperscalers et ne peut être atténuée uniquement par des clauses contractuelles de résidence des données. La deuxième dimension est actuellement hypothétique pour les alliés européens, mais l'environnement géopolitique a suffisamment évolué pour que les organisations de défense responsables des décisions d'infrastructure à long terme envisagent des scénarios de détérioration des relations politiques UE-États-Unis. La troisième dimension est gérable grâce à des choix architecturaux délibérés, mais nécessite de la discipline dès le départ.

Paysage du Cloud Souverain UE

OVHcloud avec certification SecNumCloud est le premier fournisseur cloud français avec la plus haute certification de sécurité cloud de l'ANSSI (SecNumCloud, qualifié niveau élevé). SecNumCloud exige que le fournisseur soit contrôlé par des entités UE, que le traitement des données reste sous juridiction légale européenne et que l'infrastructure et les opérations du fournisseur soient auditables par les autorités françaises et européennes. OVHcloud exploite des centres de données à travers l'Europe et fournit des services IaaS, PaaS et Kubernetes géré. Sa certification SecNumCloud en fait l'option EU-souveraine la plus crédible pour les charges de travail de défense et gouvernementales françaises, et de plus en plus pour les programmes de défense à l'échelle de l'UE qui privilégient la souveraineté.

DELOS Cloud (partenariat T-Systems/Deutsche Telekom avec Microsoft) est une offre de cloud souverain allemand qui fait fonctionner les services Azure sur une infrastructure détenue et exploitée par T-Systems (une filiale de Deutsche Telekom) selon le droit allemand, avec un arrangement de fiduciaire technique conçu pour empêcher l'accès du gouvernement américain par le CLOUD Act. Le modèle DELOS permet l'accès au portefeuille de services cloud de Microsoft — y compris Entra ID, Azure Kubernetes Service et Azure Monitor — tout en traitant la question de souveraineté des données grâce à la structure fiduciaire. Le BSI (Bundesamt für Sicherheit in der Informationstechnik) a participé à l'évaluation de sécurité de l'architecture DELOS.

Hetzner et IONOS sont des fournisseurs cloud allemands offrant un IaaS simple sous juridiction UE sans structures de maison mère américaines. Ils manquent de la largeur des services gérés des principaux hyperscalers et n'ont pas la profondeur de certification de sécurité d'OVHcloud SecNumCloud ou DELOS, mais pour les charges de travail de défense avec des exigences modestes en matière de services cloud et des contraintes de souveraineté fortes, ils offrent une position juridique claire. Les deux détiennent la certification ISO 27001 et poursuivent des schémas de certification supplémentaires de l'UE.

GAIA-X : Ce qu'il Offre Réellement

GAIA-X, lancé en 2019 comme initiative franco-allemande et élargi à un effort UE plus large, vise à créer un écosystème d'infrastructure cloud européen fédéré et interopérable. Il est important d'être précis sur ce que GAIA-X est et n'est pas.

GAIA-X n'est pas un fournisseur cloud — il n'exploite pas d'infrastructure informatique. C'est un cadre de gouvernance et de normes : un ensemble de spécifications sur la façon dont les fournisseurs cloud et les services de données peuvent enregistrer leurs offres, certifier leur conformité aux exigences de gouvernance des données et participer à un marché fédéré. Le Trust Framework GAIA-X définit les exigences en matière de souveraineté des données, de portabilité, de transparence et d'interopérabilité que les fournisseurs doivent satisfaire pour afficher des labels de conformité GAIA-X.

Pour les marchés publics de défense, la conformité GAIA-X est un indicateur — pas une garantie — de posture de souveraineté alignée sur l'UE. Un fournisseur qui a atteint la conformité GAIA-X s'est soumis à un cadre de gouvernance défini, mais la conformité GAIA-X ne se substitue pas aux certifications de sécurité nationale telles que SecNumCloud ou BSI C5. Les organisations de défense devraient traiter le statut GAIA-X comme un point de données dans une évaluation plus large des fournisseurs, et non comme un critère de qualification suffisant en soi.

EUCS : Schéma Européen de Certification de Cybersécurité pour le Cloud

Le Schéma Européen de Certification de Cybersécurité pour les Services Cloud (EUCS) est en cours d'élaboration par l'ENISA (Agence de l'Union européenne pour la cybersécurité) dans le cadre de la loi européenne sur la cybersécurité. L'EUCS créera un schéma harmonisé de certification de sécurité cloud dans les États membres de l'UE, remplaçant le patchwork actuel de certifications nationales (SecNumCloud français, C5 allemand, etc.).

L'EUCS définit trois niveaux d'assurance : Basique, Substantiel et Élevé. Le niveau d'assurance Élevé est celui qui est pertinent pour les charges de travail de défense : il exige le contrôle juridique de l'UE sur le fournisseur, le traitement des données limité à l'UE, des mesures techniques et organisationnelles empêchant l'accès des gouvernements non-UE, et un audit par un organisme d'évaluation de la conformité accrédité par un organisme national d'accréditation d'un État membre de l'UE.

L'EUCS High est encore en cours de finalisation en 2026, avec un débat politique en cours sur la question de savoir si les hyperscalers américains avec des filiales basées dans l'UE devraient être éligibles au niveau d'assurance Élevé. Pour les organisations de défense européennes, les conseils pratiques sont : privilégier les fournisseurs qui détiennent actuellement des certifications nationales d'assurance Élevée (SecNumCloud qualifié élevé, BSI C5 avec attestation de souveraineté) et qui seront bien positionnés pour la certification EUCS High lorsqu'elle sera finalisée.

Critères de Sélection pour la Défense UE

La sélection d'un fournisseur cloud pour les charges de travail de défense UE nécessite une évaluation selon cinq critères : la juridiction (le fournisseur doit être contrôlé par des entités UE sans voie d'accès légalement effective d'un gouvernement étranger) ; la résidence des données (les données doivent rester dans le territoire UE, contractuellement et techniquement applicable) ; le contrôle des clés de chiffrement (l'organisation de défense doit conserver le contrôle exclusif des clés de chiffrement, empêchant l'accès du fournisseur au contenu des données même sous contrainte) ; les droits d'audit (l'organisation de défense doit être en mesure d'auditer l'infrastructure, les opérations et les journaux d'accès du fournisseur indépendamment ou par l'intermédiaire d'un tiers accrédité) ; et la certification de sécurité (le fournisseur doit détenir une certification nationale ou UE pertinente au niveau d'assurance approprié pour la classification de la charge de travail).

Le contrôle des clés de chiffrement est particulièrement important et souvent sous-spécifié lors des marchés publics. Un fournisseur qui stocke des données chiffrées avec des clés qu'il contrôle n'offre aucune protection significative contre la divulgation forcée — le déchiffrement des données est trivial pour le fournisseur sous contrainte légale. L'organisation de défense doit exploiter son propre HSM (Module de Sécurité Matériel) ou utiliser un service de clé géré par le client où le fournisseur ne peut provablement pas accéder aux clés, et doit vérifier par examen technique et juridique que cette architecture est effectivement appliquée de bout en bout.