Souveraineté numérique : votre infrastructure cloud est-elle votre plus grande faille juridique ?

Avez-vous vraiment besoin d'un hyperscaler (AWS, Azure, Google Cloud Platform…) ? 

Découvrez les avantages du sur-mesure souverain.

SOMMAIRE

Introduction : l’autonomie est plus que stratégique !

1. L'illusion du datacenter local : Pourquoi la géographie ne vous protège plus.
   1. Le Cloud Act : pourquoi votre SLA ne vaut rien face au droit américain
   2. NIS 2 : L’obligation légale de contrôle
2. Stratégie cloud, l'hyperscaler n'est PAS forcément le meilleur choix
   1. L'expertise humaine VS le catalogue de services infinis
   2. Attention au risque de dépendance
   3. Replacer le besoin au centre de l’architecture
3. Migrer vers du souverain la méthode Codéin
   1. Les architectures "Standards" : La migration par translation
   2. Les architectures "Cloud Native" : Le défi du Vendor Lock-in
   3. L'humain au cœur du système
4. Finops : Passez de la facture aléatoire au budget maîtrisé
5. Tableau comparatif hyperscaler vs cloud souverain européen
    

Conclusion : Quel choix pour votre infrastructure ? 

Introduction : l’autonomie est plus que stratégique !

En 2026, dans un contexte géopolitique de tensions croissantes, confier son système d'information à des acteurs extra-européens peut présenter des risques. La géopatriation, à savoir le fait de rapatrier ses données et sa gouvernance en Europe devient la nouvelle norme pour les entreprises qui souhaitent garder le contrôle.

1. L'illusion du datacenter local : Pourquoi la géographie ne vous protège plus.

Certains pensent, à tort, que le fait d'héberger leurs données dans un datacenter situé en France suffit à les protéger, or la souveraineté est une question de juridiction. (La juridiction signifie le pouvoir d’un état et de ses tribunaux d’appliquer ses propres lois.)

1.1 Le Cloud Act : pourquoi votre SLA ne vaut rien face au droit américain

L’extra-territorialité du droit américain peut donc à tout moment devenir un risque de rupture d'activité immédiate.

Scénario possible : Imaginez une ETI française, leader dans l'énergie. Ses données R&D sont sur un cloud US. Suite à des tensions diplomatiques, Washington émet un gag order (ordonnance de non publication) L'hébergeur suspend les accès. L'usine s'arrête, le site est HS, et le support technique ne peut rien vous dire. Votre SLA s'efface devant la loi américaine. Confier ses données à un acteur soumis au Cloud Act, c’est accepter que votre "bouton on/off" puisse être activé depuis Washington.

Côté Européen et Français, la loi NIS 2 enfonce le clou.

1.2 NIS 2 : L’obligation légale de contrôle

Qu’est-ce que NIS 2 ? 

NIS 2est une directive européenne qui succède à NIS 1. Son but est d'harmoniser et d'élever le niveau de cybersécurité au sein de l'Union Européenne face à l'augmentation des cyberattaques. Elle a été transposée dans le droit français pour entrer en application pleine en 2025-2026.
Contrairement au RGPD qui protège les données personnelles, NIS 2 protège les réseaux et les Systèmes d'Information indispensables au fonctionnement de l'économie et de la société.

NIS 2 : 5 mesures de gestion des cyber-risques

1. La responsabilité des dirigeants : ils doivent valider les mesures prises et peuvent être formés et sanctionnés personnellement.
2. La sécurité de la chaîne d'approvisionnement : l'entreprise doit garantir la sécurité des produits et services de ses fournisseurs (donc de ses hébergeurs et agences web).
3. La gestion des incidents : obligation de notifier l'ANSSI en cas d'incident significatif (alerte sous 24h, rapport détaillé sous 72h).
4. La continuité d'activité : mise en place de plans de secours (PRA/PCA) et de gestion de crise.
5. lA cybersécurité de base : chiffrement, contrôle des accès…

NIS 2 : objectifs et sanctions

• Éviter qu'une cyberattaque sur un sous-traitant ne fasse tomber tout un secteur industriel.
• Faire en sorte que toutes les entreprises européennes d'un même secteur aient le même niveau de protection.
• Sanctionner avec des amendes pouvant aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial.
   

Des milliers d’entreprises concernées par la Directive NIS 2

 C'est le grand changement par rapport à NIS 1. On passe de quelques centaines d'opérateurs à des milliers d'entreprises en France.

• Les entités essentielles : les secteurs très critiques (énergie, transport, santé, administration publique, banques).
• Les entités importantes : des secteurs clés mais moins critiques (gestion des déchets, postes, agroalimentaire, fabrication industrielle dont l'aéronautique et l'automobile).
• En général, toute entreprise de plus de 50 salariés ou réalisant plus de 10 millions d'euros de chiffre d'affaires dans ces secteurs est concernée.

Tableau récapitulatif de la Directive NIS 2

Dans le cadre de NIS 2, une entreprise est désormais responsable des failles de ses sous-traitants. Si vous utilisez un hyperscaler soumis au Cloud Act, vous introduisez une "faille juridique" dans votre conformité. En cas de gel de vos services par une autorité étrangère, vous ne seriez plus en mesure de justifier la maîtrise de votre continuité d'activité auprès de l'ANSSI.

Conclusion : Vous ne pouvez pas garantir la sécurité de votre chaîne d'approvisionnement exigée par NIS 2 si votre infrastructure dépend d'un acteur soumis à des lois extra-territoriales.

Mais, au-delà des aspects légaux, le choix d’un hyperscaler n’est peut être pas adapté aux besoins de votre organisation.