Datacenter souverain pour les industries critiques : SecNumCloud, NIS2 et ce que ça change concrètement

Datacenter souverain pour les industries critiques : SecNumCloud, NIS2 et ce que ça change concrètement

Secteur : Datacenter & Infrastructure industrielle
Mots-clés principaux : datacenter souverain défense, SecNumCloud industrie, OIV infrastructure numérique, NIS2 industrie critique


Introduction

« Cloud souverain » est devenu un terme omniprésent dans les discours des DSI et des directions générales des grandes entreprises industrielles françaises. Mais derrière la rhétorique, la réalité opérationnelle reste souvent floue : qu’est-ce qui oblige concrètement une entreprise du secteur de la défense, de l’aéronautique ou de l’énergie à ne pas héberger ses données chez AWS ou Azure ? Quelles sont les alternatives disponibles et à quel prix ?

Cet article répond à ces questions sans jargon marketing, en partant des contraintes réglementaires réelles et des architectures d’infrastructure qui en découlent.


Pourquoi le cloud américain pose un problème structurel pour certaines industries

La réponse tient en trois lettres : FISA et Cloud Act.

Le Cloud Act (Clarifying Lawful Overseas Use of Data Act), entré en vigueur aux États-Unis en 2018, autorise les autorités américaines à exiger d’un prestataire cloud américain — où qu’il opère dans le monde, y compris sur des datacenters situés en Europe — qu’il remette des données hébergées sur ses serveurs. AWS, Microsoft Azure et Google Cloud sont des entreprises américaines. Même lorsqu’elles opèrent des datacenters en France, elles restent soumises à cette législation.

Pour une entreprise industrielle ordinaire, ce risque est souvent jugé acceptable. Mais pour un industriel de défense qui héberge des données techniques relatives à des systèmes d’armes, pour un opérateur d’importance vitale (OIV) dont la compromission pourrait affecter la sécurité nationale, ou pour une entreprise qui traite des données soumises à des contrôles à l’exportation (ITAR, EAR, réglementations nationales équivalentes), c’est un risque juridique et stratégique inacceptable.

À cela s’ajoutent les contraintes issues du droit européen qui se renforcent rapidement.


Le cadre réglementaire qui structure les choix d’infrastructure

NIS2 : une obligation élargie et renforcée

La directive NIS2 (Network and Information Security 2), applicable dans l’Union européenne depuis octobre 2024, élargit considérablement le périmètre des entités soumises à des exigences de sécurité renforcées. Là où NIS1 concernait principalement les OIV classiques (énergie, transport, eau, santé), NIS2 intègre également les secteurs de la fabrication industrielle, de la chimie, de l’alimentation, et des fournisseurs de services numériques.

Concrètement, NIS2 impose aux entités concernées de :

  • Mettre en œuvre des mesures techniques et organisationnelles proportionnées aux risques
  • Notifier les incidents de sécurité significatifs dans des délais stricts (24 heures pour l’alerte initiale, 72 heures pour le rapport préliminaire)
  • S’assurer que leurs fournisseurs et sous-traitants (y compris cloud) respectent des niveaux de sécurité équivalents
  • Engager la responsabilité personnelle des dirigeants en cas de manquement

Ce dernier point est nouveau et particulièrement structurant : la direction générale ne peut plus déléguer entièrement la responsabilité cybersécurité à la DSI. Les choix d’infrastructure cloud deviennent des décisions de gouvernance au niveau le plus élevé.

SecNumCloud : la qualification française pour les données sensibles

SecNumCloud est le référentiel de qualification développé par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) pour les prestataires de cloud hébergeant des données sensibles de l’État et des infrastructures critiques.

La version 3.2 du référentiel, actuellement en vigueur, impose notamment :

  • L’immunité aux législations extraterritoriales (pas de cloud américain ou chinois, même via des filiales européennes)
  • Le contrôle des données à toutes les étapes par des entités de droit français ou européen
  • Des engagements contractuels spécifiques sur la réversibilité et la portabilité
  • Des audits réguliers par des organismes accrédités

Les prestataires aujourd’hui qualifiés SecNumCloud 3.2 comprennent notamment OVHcloud, Outscale (Dassault Systèmes), Thales/S3NS, et quelques autres acteurs français. Microsoft a travaillé sur une offre « Bleu » via une filiale indépendante, mais les questions sur l’immunité réelle aux lois américaines restent l’objet de débats entre juristes.

Les réglementations sectorielles spécifiques

Au-delà des cadres transversaux, plusieurs secteurs industriels ont leurs propres contraintes :

Défense et DGA. Les industriels de défense travaillant sur des informations classifiées ou des programmes sensibles sont soumis à des exigences d’hébergement sur des infrastructures homologuées par les autorités de sécurité compétentes. L’utilisation de cloud public américain pour ces données est exclue.

Aéronautique (EASA/DGAC). Les données de navigabilité et de certification des aéronefs font l’objet de réglementations strictes. Si les exigences sur l’hébergement cloud ne sont pas encore aussi prescriptives que dans la défense, la tendance réglementaire est à une formalisation croissante.

Énergie nucléaire (ASN). Les systèmes d’information des installations nucléaires de base (INB) sont soumis à des exigences de sécurité parmi les plus strictes du secteur industriel français.


Les architectures d’infrastructure disponibles

Face à ces contraintes, les DSI industriels disposent de plusieurs modèles d’architecture, à combiner selon la sensibilité des données et les contraintes opérationnelles.

On-premise classique

L’hébergement en propre, dans des datacenters appartenant ou loués par l’entreprise, reste la solution qui offre le contrôle le plus complet. Elle convient aux systèmes les plus sensibles — contrôle-commande d’installations critiques, systèmes de simulation pour des programmes classifiés — mais elle implique des investissements en infrastructure, des équipes d’exploitation dédiées, et une gestion de la redondance et de la reprise après sinistre.

Pour les données extrêmement sensibles, c’est souvent la seule option acceptable. Pour les données simplement « sensibles mais non classifiées », c’est souvent surdimensionné.

Colocation chez un hébergeur souverain

Louer de la capacité dans un datacenter français ou européen, sur des équipements dédiés (bare metal ou virtualisation dédiée), chez un prestataire qui ne peut pas être contraint par une legislation extraterritoriale américaine. Cette option offre un bon compromis entre contrôle des données et flexibilité opérationnelle.

Des acteurs comme Interxion (Groupe Digital Realty — attention, américain), Data4, ou des acteurs régionaux moins connus proposent des offres de colocation. La vigilance sur la structure capitalistique du prestataire reste nécessaire.

Cloud privé souverain

Des plateformes cloud privées déployées sur des infrastructures physiques maîtrisées, opérées par des entités souveraines. Des solutions comme Outscale (filiale de Dassault Systèmes, qualifiée SecNumCloud) ou OVHcloud (qualifiée SecNumCloud sur certaines offres) permettent de bénéficier des avantages opérationnels du cloud (élasticité, self-service, orchestration) sans exposition aux lois extraterritoriales.

Ces solutions conviennent très bien aux charges de travail non classifiées mais sensibles : données de R&D, systèmes de gestion de production, analytics opérationnels.

Architecture hybride

Le modèle le plus courant dans les grands groupes industriels. Les données et systèmes sont classifiés selon leur sensibilité, et chaque catégorie est hébergée sur l’infrastructure adaptée :

  • Données hautement sensibles / classifiées → on-premise ou cloud privé qualifié
  • Données opérationnelles sensibles → cloud souverain SecNumCloud
  • Données de collaboration générale, outils bureautiques → cloud public avec mesures de sécurité standard
  • Données publiques, site web → cloud public standard

La complexité de gestion augmente avec l’hybridation, mais c’est souvent le seul modèle qui satisfait simultanément les contraintes réglementaires, opérationnelles et économiques d’une grande entreprise industrielle.


Ce que ça change concrètement pour les projets IA

La question de la souveraineté des données devient particulièrement aiguë dès qu’on parle d’IA industrielle. Les projets de machine learning et d’IA générative impliquent en effet de soumettre des données à des modèles — et si ces modèles sont hébergés chez un prestataire américain, les données qui lui sont soumises peuvent tomber sous des juridictions extraterritoriales.

Pour un industriel de défense qui veut utiliser un LLM pour analyser ses données de R&D, ou une entreprise aéronautique qui veut déployer un copilote IA pour ses ingénieurs bureau d’études, le choix du modèle est inséparable du choix de l’infrastructure d’hébergement.

Les options souveraines disponibles en 2026 :

Mistral AI (France) propose des modèles de LLM parmi les plus performants hors des États-Unis. Ses modèles peuvent être déployés on-premise ou via des partenaires cloud souverains européens, sans exposure aux lois américaines.

LLMaaS via SecNumCloud. Des plateformes comme LLMaaS d’Outscale permettent d’accéder à des LLMs souverains via une infrastructure qualifiée SecNumCloud, avec des garanties contractuelles sur la localisation des données et l’absence d’accès par des tiers.

Déploiement on-premise de modèles open-weight. Des modèles comme Llama (Meta, open-weight) ou les modèles Mistral en version open peuvent être déployés intégralement sur l’infrastructure interne d’une entreprise, sans aucune dépendance externe. C’est la solution maximale en termes de contrôle, mais elle requiert les compétences MLOps pour gérer le déploiement, les mises à jour et les performances.


Le coût de la souveraineté

La souveraineté a un prix. Un cloud souverain SecNumCloud coûte généralement 20 à 50 % plus cher qu’un service équivalent chez un hyperscaler américain. Un déploiement on-premise de modèles IA implique des coûts d’infrastructure GPU, de MLOps et de maintenance que les offres SaaS cloud éliminent.

Mais ce calcul économique doit être mis en regard du coût du risque. Pour un industriel de défense, une compromission de données sensibles par une injonction légale américaine n’est pas un risque financier abstrait — c’est une menace sur ses contrats, ses habilitations, et potentiellement sur la sécurité nationale.

Pour les entreprises qui ne sont pas soumises à des contraintes réglementaires strictes, la question de la souveraineté reste légitime mais le curseur peut être placé différemment selon la nature des données concernées.


Comment faire le bon choix d’architecture ?

La démarche recommandée est une classification préalable des données et des systèmes :

  1. Inventaire et classification des données par niveau de sensibilité (public, interne, confidentiel, secret).
  2. Cartographie des contraintes réglementaires applicables à chaque catégorie (NIS2, ITAR, réglementations sectorielles).
  3. Analyse des flux de données entre systèmes pour identifier les interdépendances et les risques de contamination (des données sensibles qui transitent par des systèmes non protégés).
  4. Choix du modèle d’hébergement par catégorie, en optimisant le compromis coût/contrôle/performance.
  5. Intégration dans une architecture de sécurité globale : zero trust, chiffrement de bout en bout, gestion des identités et des accès.

Cette démarche, bien menée, aboutit généralement à une architecture hybride réaliste — pas au fantasme d’un « tout souverain » inaccessible économiquement, ni au risque d’un « tout public » incompatible avec les exigences réglementaires.


Conclusion

La souveraineté des données industrielles n’est pas une idéologie protectionniste. C’est une réponse pragmatique à un cadre juridique international qui crée des risques réels pour les entreprises qui hébergent leurs données sensibles chez des prestataires soumis à des législations extraterritoriales étrangères.

Les industriels français des secteurs défense, aéronautique et énergie sont en première ligne de ces contraintes. Mais NIS2 les élargit désormais à un périmètre beaucoup plus vaste de l’industrie française. La question n’est plus de savoir si ces entreprises doivent s’y confronter, mais comment le faire de façon structurée, économiquement rationnelle, et sans bloquer leurs projets d’innovation numérique et d’IA.

L’infrastructure souveraine n’est pas la négation du cloud moderne. C’est sa version responsable.


Hedon Group accompagne les entreprises industrielles dans la conception d’architectures data et IA conformes aux exigences de souveraineté et aux réglementations sectorielles. Nos équipes interviennent de l’audit de maturité jusqu’au déploiement opérationnel. [Prenez contact avec nos experts.]

Partager l'article

Articles les plus récents

Secteur : Spatial — Systèmes embarquésMots-clés principaux : systèmes embarqués satellite, qualification spatiale ECSS, smallsat…

Secteur : Spatial — Technologies de propulsionMots-clés principaux : propulsion spatiale réutilisable, moteur Prometheus ArianeGroup,…

Secteur : Aéronautique & Spatial — Technologies matériauxMots-clés principaux : matériaux composites aéronautique, CFRP thermoplastique,…