Pendant longtemps, la notion était cependant davantage théorique que pratique : certes, les organisations s’inquiétaient de pouvoir maintenir leurs données et leurs opérations à l’abri de toute interférence étrangère, mais il n’existait ni le cadre juridique, ni les solutions technologiques pour le faire. Ces deux obstacles sont aujourd’hui levés, ou en passe de l’être, le moment est venu d’ajouter la souveraineté aux grands critères de décision en matière d’IT.

SecNumCloud 3.2, un cadre clair, strict et robuste

Ces dernières années, de nombreux pays se sont emparés du sujet de la souveraineté numérique, en général dans le contexte sensible du cloud. Pionnière en la matière, la France sort cependant du lot avec le texte le plus complet et le plus mature à ce jour, la qualification SecNumCloud 3.2.

Établie par l’ANSSI, SecNumCloud 3.2 pose des critères très stricts et très clairs pour les services cloud, notamment vis-à-vis des lois extraterritoriales. Par sa précision, SecNumCloud 3.2 contribue à réduire les confusions — notamment entre sécurité et souveraineté — et à clarifier les zones d’ambiguïté qui pouvaient auparavant donner lieu à des interprétations divergentes de la part des fournisseurs, en explicitant le périmètre, les exigences juridiques et opérationnelles (droit applicable, localisation, portage européen) ainsi que les modalités de contrôle et d’audit.

Pour le cloud, désormais, la souveraineté numérique n’est plus une notion sujette à interprétation, mais une liste d’exigences que l’on peut choisir d’appliquer ou non. Et cela change tout.

Des offres qui arrivent à maturité

Avec ses critères précis et son processus de certification, SecNumCloud 3.2 facilite la comparaison entre les offres, favorisant ainsi les plus rigoureuses. Parallèlement, la doctrine « Cloud au centre » de l’État a stimulé la commande publique et la création de communs numériques par les administrations à l’image de Cloud π Native, la plateforme de services DevSecOps du ministère de l’Intérieur.

Tout ceci a permis au marché d’accélérer et de se structurer. Aujourd’hui, la plupart des fournisseurs de cloud hexagonaux – OVHcloud, Outscale, Cloud Temple, … – proposent des services de cloud souverain, en attendant prochainement les offres de Bleu et S3NS, qui donneront accès à des technologies américaines (Microsoft et Google respectivement) dans le respect des exigences liées aux cloud de confiance.

Sur les maillons de la chaîne technologique autres que le cloud, l’offre souveraine est un peu moins avancée, même si diverses initiatives au niveau français (La Suite Numérique de la DINUM) ou européen (Eurostack) amorcent d’indéniables progrès. L’open source est aussi une voie privilégiée pour préserver son autonomie, à condition toutefois d’en être un utilisateur vigilant et de s’impliquer dans les communautés pour s’assurer de leur pérennité et indépendance. Reste enfin l’aspect matériel où le marché reste très dominé par des technologies non européennes ; des initiatives progressent mais la maturité varie selon les couches du cloud (matériel, IaaS, PaaS, …).

Ainsi, pour la plupart des organisations, publiques ou privées, il est désormais possible d’atteindre un haut niveau de maîtrise et de protection sur deux des trois piliers de la souveraineté numérique : les données et les opérations.

Grâce aux cadres réglementaires et aux solutions matures disponibles, il devient possible de soustraire – bien sûr au prix de quelques efforts – les informations et processus les plus sensibles à d’éventuelles influences étrangères. En revanche, le pilier technologique (matériel, composants, infrastructures) demeure plus complexe à sécuriser dans leur intégralité, et le degré de souveraineté dépendra de la posture et des exigences propres à chaque organisation.

Un nouveau critère de gouvernance et d’architecture

Puisqu’il est désormais possible de le caractériser et de le traiter, le sujet de la souveraineté numérique peut – et doit – être appréhendé comme tous les autres risques qui pèsent sur le système d’information. Pour chaque système, chaque opération, chaque donnée, il convient de s’interroger sur la probabilité d’une interférence étrangère, sur les dommages qui en résulteraient et sur ce qu’il en coûterait d’atténuer ou d’éliminer cette menace.

En d’autres termes, la souveraineté devient un critère de gouvernance du SI au même titre que les enjeux usuels de coûts, de sécurité, de surface fonctionnelle, de potentiel d’innovation ou de compétences. Elle ne peut plus être exclue de l’équation – surtout dans les domaines les plus exposés à l’intelligence économique – mais elle ne doit pas non plus en effacer les autres termes.

Dans la matrice de décision, ses exigences seront confrontées à celles, parfois contradictoires, des autres dimensions du SI. Les arbitrages qui en résulteront, et qui tiendront également compte de l’existant, seront alors transcrits dans le schéma directeur.

Une telle méthode permet de ne réserver le cloud de confiance, souvent plus coûteux et contraignant, qu’aux cas les plus sensibles, et incite plutôt à s’orienter vers des modèles d’architecture hybrides où cohabitent différentes zones selon les besoins : on premise, cloud privé, cloud public classique, cloud de confiance, … L’enjeu se déplace alors sur la sécurité au-delà des interfaces « standard », ce qui renforce la pertinence d’une approche Zero Trust, tout en rappelant que souveraineté et cybersécurité sont deux dimensions distinctes mais complémentaires.

La souveraineté vise à garantir le contrôle juridique et opérationnel sur les données et les systèmes, tandis que la cybersécurité protège leur confidentialité, leur intégrité et leur disponibilité. Pour une protection optimale, ces deux sujets doivent être abordés conjointement, sans les confondre. 

Plus besoin d’attendre

La maturité et la stabilité réglementaires, ainsi que l’existence de solutions cloud conformes à ce cadre, doivent encourager les organisations à s’emparer sans plus attendre de la question de la souveraineté numérique, d’autant plus dans un contexte international qui n’incite certainement pas à baisser la garde.

Nous recommandons d’amorcer la transformation en favorisant l’exploration et l’innovation en cloud public dans des environnements de test maîtrisés (anonymisation, jeux de données synthétiques, cloisonnement fort, chiffrement, …), et de traiter les cas d’usage exposés sur une plateforme de confiance conforme (qualification SecNumCloud 3.2 visée/obtenue), en acceptant au besoin une couverture fonctionnelle initialement plus limitée. Cette articulation doit être inscrite dans la feuille de route du SI, avec des jalons de convergence.

Aujourd’hui, de nombreuses organisations souhaitent tester l’intelligence artificielle et développer leurs innovations dans un cadre technique maîtrisé et sécurisé, notamment sur le plan juridique. L’objectif est de garantir que les données utilisées et générées, ainsi que les modèles d’IA, soient protégés et le plus possible exempts de biais culturels. Les solutions actuelles, comme celles proposées par des acteurs européens tels que Mistral AI, permettent de mettre en place ce type de plateforme, conciliant sécurité, conformité et innovation.

Outre son intérêt immédiat, les projets innovants sont aussi l’occasion de sensibiliser les métiers aux enjeux de la souveraineté, à ses contraintes, mais aussi à sa valeur. Au-delà de la protection du patrimoine numérique, la souveraineté raccroche l’IT et ses usages au monde qui nous entoure. La prendre en considération, c’est montrer à ses collaborateurs et à ses clients que l’organisation n’en est pas déconnectée. Pour beaucoup, ce sera un gage de confiance et un vecteur de sens extrêmement appréciés.