Comparatif : que valent les clouds dits souverains des hyperscalers ?

AWS, Microsoft Azure, Google Cloud ont multiplié ces derniers mois les offres dites souveraines pour rassurer leurs clients européens. Derrière un même vocabulaire, les approches sont pourtant très différentes.

Depuis un an et demi et le retour au pouvoir de Donald Trump, le terme de souveraineté n’a jamais été autant utilisé, à plus ou moins bon escient, dans le monde du numérique. Les méthodes brutales et les discours agressifs de l’administration américaine à l’égard de l’ancien allié européen ont rappelé notre grande dépendance aux géants de la tech US.

Dans une étude publiée en avril 2025, le Cigref, le club des grands DSI français, a posé froidement le constat. Sur les 400 milliards de dépenses liées aux logiciels et services cloud à usage professionnel que l’Europe consacre par an, 83% atterrissent chez des entreprises américaines. Compte tenu de leur situation d’enfermement propriétaire (vendor lock-in), les organisations européennes doivent, par ailleurs, accepter des hausses tarifaires régulières s’élevant à 8,7% ces trois dernières années.

Se prémunir du "kill switch"

Les risques liés à cette dépendance sont à la fois technologiques, économiques, juridiques mais aussi géopolitiques. En janvier 2025, dans un récit fictionnel posté sur LinkedIn, Henri d’Agrain, délégué général de ce même Cigref, évoquait la possibilité d’un "kill switch". Pour contraindre le Danemark à lui céder le Groenland, l’hôte de la Maison Blanche lui impose un embargo numérique. Un simple décret présidentiel suffit à couper les services fournis par les acteurs américains de la tech du royaume scandinave.

De la fiction à la réalité, Washington a actionné ce kill switch vendredi 12 juin en suspendant l'accès de "tout ressortissant étranger" aux modèles d’IA les plus performants d’Anthropic, Mythos 5 et Fable 5. Après avoir bloqué l’exportation de puces Nvidia, l’administration américaine a ainsi montré qu’elle pouvait aussi priver ses anciens alliés de services logiciels. Pour justifier cette décision sans précédent, elle invoque un risque pour la sécurité nationale.

Face au danger d’un black-out numérique qui mettrait l’économie européenne à l’arrêt, les trois hyperscalers tentent de rassurer leurs clients du Vieux continent en multipliant les gages de confiance ces derniers mois. Fin avril 2025, Brad Smith, président de Microsoft, se fendait d’un très long billet de blog pour détailler les engagements pris par son entreprise pour préserver "la résilience numérique de l’Europe, malgré les fluctuations géopolitiques".

Tout en faisant aveu d’impuissance quelques lignes plus loin. "Dans le cas peu probable où un gouvernement nous ordonnerait de suspendre ou de cesser nos opérations cloud en Europe, nous nous engageons à ce que Microsoft conteste rapidement et vigoureusement une telle mesure en utilisant toutes les voies juridiques disponibles y compris en intentant une action en justice devant les tribunaux."

Interrogé sous serment par les sénateurs français, en juin 2025, Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, avait, de son côté, admis qu’il était impossible de garantir l’immunité des données des citoyens français aux lois extraterritoriales américaines, comme le Patriot Act, le Cloud Act ou le FISA.

Cinq critères pour qualifier un cloud de souverain

Sur ce marché particulièrement complexe, Thomas Dallemagne, managing partner, Data AI chez Klee Group, exhorte à sortir d’une définition binaire du cloud souverain. "Il n’existe pas une souveraineté, mais des souverainetés", résume-t-il en invitant à examiner cinq critères de souveraineté géographique, juridique, opérationnelle, technologique et économique.

A partir de cette matrice, la question ne se résume pas à s’assurer que les données soient hébergées sur le sol européen. AWS, Microsoft Azure, Google Cloud proposent, de longue date, le choix de la localisation. En revanche, seul le plus haut niveau de qualification SecNumCloud, la version 3.2, garantit l’immunité aux lois extraterritoriales. Joint-venture de Thales et Google Cloud, S3NS a décroché ce précieux sésame, en décembre dernier, pour sa solution de cloud de confiance.

"La souveraineté opérationnelle renvoie à la capacité de maintenir les opérations en toutes circonstances", poursuit Thomas Dallemagne. Des réglementations comme DORA ou NIS2 imposent des exigences de résilience et de continuité de service. Se pose en filigrane la question de savoir si une autorité étrangère a la capacité de "débrancher la prise". "Que se passerait‑il si, demain, une entité européenne se trouvait déconnectée de son cloud pour des raisons géopolitiques ou commerciales ? "

De façon plus pragmatique, l'exploitation, la maintenance et la surveillance des services cloud doivent être assurées exclusivement par du personnel basé en Europe, qu’il soit présent dans le datacenter ou accède à distance aux systèmes. Dans la définition de la souveraineté le plus stricte, l'entreprise opérant cette infrastructure doit avoir son siège social en Europe et son capital contrôlé par des acteurs européens pour éviter toute ingérence étrangère.

Le stade ultime de la souveraineté technologique suppose de maitriser tous les composants software et hardware nécessaires à faire fonctionner un cloud, de l’orchestrateur cloud aux serveurs en passant les très recherchés processeurs graphiques GPU. Sans parler des métaux pénuriques et des terres rares qui rentrent dans la composition de ces équipements. Une condition impossible à remplir totalement quel que soit l’opérateur de cloud de confiance.

S3NS et Bleu, le meilleur des deux mondes ?

Se pose aussi la question de l’évolution technologique des services cloud. S3NS et Bleu, filiale de Thalès pour l’une et de Capgemini et Orange pour l’autre, cochent la plupart des cases des critères précédemment cités. Ces sociétés de droit français emploient du personnel français tout en opérant les technologies de deux hyperscalers, respectivement Google Cloud et AWS. Elles semblent réunir le meilleur des deux mondes : à savoir les gages d’un cloud de confiance d’un côté, et la profondeur de catalogue et la capacité d’innovation des leaders du cloud de l’autre.

Reste la dépendance technologique de S3NS et de Bleu aux plateformes de leurs partenaires américains. "Si Google Cloud reçoit une injonction des autorités américaines, le cloud continue de fonctionner, avance Henri Lhomme, associé chez Deloitte, responsable technologie, stratégie, IA, data, cloud et cloud souverain. En revanche, les clients ne bénéficient plus des évolutions de la plateforme et de l’ajout de services innovants."

AWS, Microsoft et Google, à chacun sa stratégie

Que proposent les hyperscalers en direct ? Chacun a adopté une stratégie différente. "Microsoft a rajouté des surcouches pour offrir davantage de contrôle et de gouvernance", note Thomas Dallemagne. En juin 2025, Microsoft Azure a renforcé son offre Cloud for Sovereignty pour l’ensemble de ses régions européennes. Le cloud provider propose aux entreprises clientes d’apporter leurs clés de chiffrement et de se servir de leur propre module de sécurité matérielle (HSM, Hardware security module), à travers des partenariats noués avec Thales, Futurex et Utimaco.

Sur le plan opérationnel, "seul le personnel Microsoft résidant en Europe contrôle l'accès à distance à ces systèmes". Et si jamais des ingénieurs hors d’Europe ont besoin de cet accès, la firme de Remond a mis en place "une supervision humaine et technique". Ces accès sont "approuvés et surveillés en temps réel par le personnel résidant en Europe et consignés dans un registre inviolable".

En février dernier, Microsoft a été un pas plus loin en proposant des environnements déconnectés de son cloud public. Avec ses offres "Local disconnected operations", les entreprises et les organismes publics peuvent faire tourner des environnements Azure et Microsoft 365 et des modèles d’IA dans leurs propres infrastructures tout en bénéficiant des outils de gestion et de conformité du cloud provider.

De son côté, AWS présente "AWS European Sovereign Cloud" comme "un nouveau cloud indépendant pour l’Europe entièrement situé au sein de l’Union européenne, physiquement et opérationnellement isolé des autres régions AW ". Exploité exclusivement par des résidents de l’Union européenne, il est conçu pour "continuer à fonctionner durablement, même en cas de perturbation des communications avec le reste du monde."

En termes de gouvernance, AWS a créé une société mère et des filiales locales, basées en Europe et dirigées par des citoyens européens. Passant en disponibilité générale depuis janvier, AWS European Sovereign Cloud a lancé sa première région à Brandebourg, en Allemagne, en attendant de nouvelles "Local Zones" en Belgique, aux Pays-Bas et au Portugal.

Des trois hyperscalers, Google Cloud est celui qui a le moins communiqué sur le sujet. Le géant américain a lui aussi jeté son dévolu sur l’Allemagne. En novembre, il lançait son premier Sovereign Cloud Hub à Munich. Une sorte de show-room pour présenter les solutions souveraines du provider. Ce hub permet de "déployer des charges de travail avec un contrôle local et une assurance via des partenaires locaux de confiance", dont Thales pour la France.

C’est avec ce même Thales que Google Cloud entend répliquer le succès de S3NS en Allemagne. Annoncée en mai, cette nouvelle offre européenne de cloud souverain "reposera sur une infrastructure dédiée qui sera gérée et exploitée par une nouvelle entité allemande, que Thales détiendra et contrôlera entièrement." Elle devra répondre aux exigences réglementaires nationales, C5 et C3A, l’équivalent allemand du SecNumCloud. A noter que Google Cloud permet, avec Google Distributed Cloud, d'utiliser ses technologies dans des environnements sur site.

Une approche risque-valeur

Au regard de ces gages de confiance, est-il acceptable ou non de recourir à un cloud américain ? Deloitte incite ses clients à adopter une approche "risque‑valeur". " Les hyperscalers apportent une forte valeur en termes d’innovation et de performances, rappelle Henri Lhomme. Cet apport doit être mis en balance avec les risques juridiques, opérationnels et géopolitiques. L’aspect réglementaire pèse, par ailleurs, sur certaines professions régulées comme les banquiers, les assureurs ou les notaires. " 

A ses yeux, les organisations doivent trouver un juste équilibre. "Il convient de diversifier ses fournisseurs pour ne pas être totalement dépendant d’un prestataire sans toutefois les multiplier à l’excès au risque de ne peser sur aucun." Prêchant pour sa paroisse, il indique que Deloitte propose "une offre multi‑métiers, mobilisant des équipes risques, des avocats et des opérationnels IT pour aider les clients à structurer une analyse de risques souverains à 360°".

Des référentiels peuvent également éclairer les organisations. En France, l'Indice de Résilience Numérique (IRN) pose un diagnostic sur leur état de dépendance technologique selon différents critères comme la nationalité des fournisseurs, le cadre juridique applicable ou l'adoption de technologies open source. La Commission européenne a, elle, publié le Cloud Sovereignty Framework (CSF) permettant d'évaluer le niveau de souveraineté des services cloud opérant en Europe.

Comme son confrère, Thomas Dallemagne plaide pour une approche pragmatique de gestion par les risques. "Beaucoup d'entreprises restent dans une lecture binaire. Soit, elles considèrent que la souveraineté ne présente pas un enjeu, soit, elles veulent aller vers le tout souverain".

Or, il existe, selon lui, toute une gradation de solutions résultant de compromis entre la performance, le coût, la richesse fonctionnelle pu le niveau de contrôle. Il rappelle que "la souveraineté implique souvent un surcoût, une complexité opérationnelle accrue, voire un retard technologique". Plutôt que de faire preuve de dogmatisme sur le sujet, il convient, à ses yeux, d'arbitrer en fonction de la criticité des activités supportées et de la sensibilité des données.