Les hyperscalers américains façonnent un "cloud européen" à leur image
Les hyperscalers jouent la carte européenne, mais gardent la main sur la partie. En effet, derrière les discours de conformité et les labels, les architectures restent sous le sceau américain. Une offensive calibrée pour contenir la poussée des acteurs alternatifs et rester indispensables aux yeux des clients publics et privés.
Ce n'est pas un hasard si les annonces se multiplient. En moins de deux mois, les trois principaux fournisseurs de cloud – à savoir Amazon Web Services, Google et Microsoft – ont dévoilé ou renforcé leurs initiatives dites "européennes" en plaçant la souveraineté technologique au coeur de ces nouvelles offres.
Des signaux de réassurance
Dès la fin avril, en pleine guerre commerciale lancée par le président Donald Trump, Microsoft multipliait les signaux d'apaisement envers le marché européen. Par la voix de son président Brad Smith, l'entreprise annonçait le doublement de la capacité des centres de données installés en Europe, le tout supervisé par un nouveau centre d'administration européen composé exclusivement de ressortissants européens.
Brad Smith annonçait également l'insertion d'une nouvelle clause contractuelle dans les contrats signés avec la Commission européenne et les gouvernements européens garantissant que Microsoft contesterait toute injonction américaine de couper l'accès à ses services en Europe.
Microsoft enrichit son portefeuille de solutions
Microsoft a également présenté un rebranding de son offre baptisée “Microsoft Sovereign Cloud", qui vise à concilier souveraineté perçue et conservation du contrôle technologique. Dans le détail, cette offre se décline en plusieurs volets. Le Sovereign Public Cloud repose sur les services Azure, M365 et Power Platform, avec des données localisées en Europe et des accès restreints à des personnels basés sur le continent. Elle ne nécessite pas de migration.
Le Sovereign Private Cloud, de son côté, permet l’exécution de charges de travail critiques dans des environnements contrôlés par le client, qu’il s’agisse de solutions sur site, hébergées localement ou chez un partenaire. Microsoft 365 Local permet quant à lui d’exploiter les outils de collaboration comme Exchange ou SharePoint au sein d’un data center contrôlé par le client, sur une architecture validée par Microsoft.
Pour répondre aux préoccupations en matière de gouvernance et de sécurité, Microsoft introduit Data Guardian, une surcouche de supervision qui encadre l’accès aux systèmes traitant des données européennes. Seuls les ingénieurs européens peuvent intervenir, et tout accès exceptionnel déclenche une surveillance humaine en temps réel, avec enregistrement dans un registre sécurisé. Le groupe propose également une gestion externe des clés de chiffrement via External Key Management, qui permet aux clients d’utiliser leurs propres HSM sur site ou via un tiers de confiance.
Microsoft rappelle à cette occasion ses partenariats existants avec des acteurs européens, notamment Bleu en France avec Orange et Capgemini, et Delos Cloud en Allemagne avec SAP et Arvato.
Google ajoute un bouclier à son offre de régionalisation
Quelques semaines plus tard, en mai, Google a rejoint Microsoft en présentant un renforcement de son offre "Google Cloud Data Boundary", qui permet déjà de localiser les données dans des data centers situés dans l’Union européenne. Elle y ajoute désormais un “bouclier” de sécurité, offrant aux clients la possibilité de soumettre leurs applications à des tests de sécurité supplémentaires.
Pour les secteurs les plus sensibles, comme la défense ou le renseignement, Google propose une solution dite "air-gapped" – un environnement totalement déconnecté du reste du réseau – illustrée par le partenariat stratégique avec Thales via leur coentreprise S3NS.
Puis ce fut au tour d'AWS de détailler son offre de cloud "souverain". Baptisée AWS European Sovereign Cloud, cette nouvelle région cloud verra le jour fin 2025 dans le Land de Brandebourg, en Allemagne. L'entité juridique sera composée d'une maison mère et de trois filiales de droit allemand, dirigées par Kathrin Renz, actuelle présidente d’AWS Industries. Un responsable sécurité et vie privée supervisera les aspects sensibles liés à la confidentialité.
AWS met l'accent sur l'isolement
Amazon met l’accent sur un isolement total vis-à-vis des autres régions cloud : les serveurs, les données, les opérations et le personnel resteront confinés dans l’UE. En cas de coupure globale, la région devra pouvoir fonctionner de manière autonome, avec accès local au code source. Un conseil consultatif composé de citoyens européens, dont un membre indépendant, veillera à la conformité en matière de souveraineté et de contrôle des accès.
Sur le plan technique, la sécurité sera encadrée par un centre d’opérations (SOC) européen. AWS introduit également un Sovereign Requirements Framework, un cadre de conformité aligné sur les exigences réglementaires locales, audité indépendamment. La région sera certifiée selon plusieurs standards, notamment ISO 27001, SOC 1/2/3 et BSI C5, l’équivalent allemand du référentiel français SecNumCloud.
Côté services, AWS maintient l’intégralité de son portefeuille, y compris ses offres en IA générative comme Bedrock, SageMaker ou Amazon Q. Les clients auront aussi la possibilité de travailler avec des partenaires locaux via l’AWS Partner Network, sans dépendance à des acteurs américains pour les services critiques.
Amazon n'a pas tissé de partenariat en France
Contrairement à Google Cloud (partenaire de Thales avec S3NS) et Microsoft (via Bleu avec Orange et Capgemini), Amazon ne s’est pas associé à un opérateur français pour viser la qualification SecNumCloud. Il fait ainsi cavalier seul, en misant sur un modèle 100% intégré et isolé. Reste à savoir si cette approche autonome suffira à convaincre les clients publics et régulés soucieux de garantir un véritable contrôle européen.
Mais derrière ces promesses de souveraineté, une limite juridique structurelle demeure : l'extraterritorialité du droit américain, dont Cloud Act. En tant qu’entreprises de droit américain, Microsoft, Google et Amazon restent légalement tenues de répondre à certaines injonctions des autorités fédérales, y compris sur des données hébergées en dehors du territoire américain. Ni la localisation des données, ni l'européanisation du personnel, ni même la création d'entités juridiques locales ne suffisent à annuler ces obligations.
Qui est vraiment prêt à changer de fournisseur ?
Reste à savoir si ces engagements suffiront à convaincre durablement les clients européens, en particulier ceux opérant dans des secteurs sensibles ou soumis à des régulations strictes. Pour l’heure, peu d’organisations semblent prêtes à renoncer aux performances, à la richesse fonctionnelle et à la maturité des services proposés par les grands fournisseurs américains.
Mais à mesure que les préoccupations liées à l’extraterritorialité du droit, à l’autonomie stratégique ou à la sécurité des données prennent de l’ampleur, certaines pourraient finir par reconsidérer leur dépendance. Derrière la souveraineté promise, beaucoup continuent de scruter ce que recouvre réellement le contrôle opérationnel et juridique.
SUR LE MÊME SUJET
Les hyperscalers américains façonnent un "cloud européen" à leur image
Tous les champs sont obligatoires
0Commentaire
Réagir![[Vidéo] Rencontrez Chloé, conceptrice mécanique chez MBDA](/mediatheque/5/4/0/001530045_400x440_c.jpg)
