Cybersécurité

Cloud Act, SecNumCloud, IA : pourquoi la souveraineté numérique européenne reste un chantier inachevé

Ava Hunziker
Journaliste RISKINTEL MEDIA
Publié le
08 May 2026
Restez connectés aux idées qui comptent
Recevez nos émissions en avant-première, accédez aux coulisses des débats, et rejoignez les professionnels qui façonnent l’écosystème Cyber, Tech et Défense.
S’inscrire à la newsletter
Flèche violet foncé pointant vers le haut sur un fond blanc.

Cloud souverain, Cloud Act, SecNumCloud, IA et cybermenaces : où en est vraiment la souveraineté numérique en Europe en 2025 ? Derrière les promesses des hyperscalers et les labels de conformité, la réalité est plus complexe, et plus préoccupante, que les discours marketing ne le laissent entendre. Laurent Tombois, Country Manager France & Belux chez Bitdefender, Julien Levrard, RSSI chez OVHcloud, et Eric Barbry, avocat associé au cabinet Racine, ont confronté leurs lectures technique, juridique et économique lors de la Table Ronde des Experts de RiskIntel Media, modérée par Yasmine Douadi, en partenariat avec Bitdefender. Voici ce qu'il faut retenir.

La localisation des données, un mirage marketing

La Table Ronde des Experts / Photo : David Marmier

Le constat qui ouvre le débat est tranchant. « Le fait que les données soient localisées en Union européenne, ce n'est pas une garantie », pose Julien Levrard. La confusion est pourtant savamment entretenue par les hyperscalers, qui concentrent leur communication sur ce qu'ils savent le mieux démontrer : l'emplacement physique des serveurs et un niveau de sécurité opérationnel élevé. Le vrai sujet se trouve ailleurs.

Le premier angle d'attaque est juridique. Le Cloud Act permet à un juge américain d'exiger d'une société américaine la production de données détenues hors du sol américain, prérogative extraterritoriale que le droit européen n'accorde pas à ses propres juridictions. Ce dispositif n'est pas isolé, rappelle Eric Barbry : des équivalents existent dans la plupart des grandes juridictions, ce qui rend la problématique systémique. S'y ajoute une dimension moins discutée, la proximité juridique. Un RSSI ou un DSI se sent naturellement plus à l'aise avec un contrat soumis au droit français ou européen qu'à un droit étranger dont il ne maîtrise pas la portée.

À lire aussi : Moltbook et OpenClaw : quand les agents IA deviennent une menace pour la cybersécurité

Mais le sujet dépasse largement le cadre contractuel. Ce sont les accès opérationnels qui posent problème : administrateurs capables de se connecter à distance depuis les bureaux des hyperscalers, équipes de run organisées en follow the sun dans plusieurs pays pour assurer un service continu, dépendances matérielles et logicielles non maîtrisées. « Il faut aussi garantir que toute l'organisation de la structure permet d'être immune aux lois extraterritoriales, que toute l'organisation des opérations soit conçue pour qu'il y ait aucun moyen que les données fuitent de manière volontaire ou involontaire, et que ces sociétés soient en capacité de gérer une autonomie technologique au quotidien, sans être dépendantes de technologies, de code ou de hardware sur lesquels elles n'ont pas la liberté de choix », détaille Julien Levrard.

Eric Barbry tranche : « Faut arrêter le mythe. » Le vrai sujet, ce sont les garanties contractuelles, techniques et organisationnelles que ces acteurs acceptent de prendre. Or en pratique, ces engagements restent très en deçà de ce qu'il faudrait. « Ce qu'on devrait obtenir par rapport à ce qu'on a aujourd'hui, ça ne marche pas. »

La menace change de nature, et de coût d'entrée

Derrière la question de la souveraineté se joue celle de l'exposition au risque, et cette exposition s'est transformée en profondeur. Soixante-dix mille vulnérabilités ont été publiées en 2025, rappelle Julien Levrard. Plusieurs dizaines par jour à trier, évaluer, contextualiser. Peu de structures ont les moyens humains de faire ce travail. Et la vulnérabilité n'est plus seulement un problème à corriger : elle est devenue, pour les États, un actif stratégique. Les executive orders américains inscrivent, à peine voilés, l'usage des vulnérabilités comme levier d'influence. Ce qui se cachait auparavant dans les couloirs du Pentagone relève désormais de la doctrine publique.

À lire aussi : Ransomware 2026 : industrialisation, guerre économique et stratégies de défense

L'intelligence artificielle rebat les cartes dans le même sens. « C'est un outil pour tout le monde, c'est un outil pour les hackers », résume Julien Levrard. Le courriel de phishing sans faute d'orthographe, imitant le style rédactionnel de la cible repéré sur LinkedIn, ne coûte plus rien. L'écriture d'un exploit en C ou en Rust peut être déléguée à un agent. Le ticket d'entrée de la cybercriminalité s'effondre. « De l'autre côté, étant donné que le shadow se multiplie et que tout le monde vibe code partout, il y a de plus en plus de portes à ouvrir avec moins de sécurité et des attaquants qui ont plus de moyens. L'équation n'est pas dans le bon sens. »

Les attaques observées se concentrent aujourd'hui moins sur les infrastructures cloud elles-mêmes que sur les environnements sous responsabilité des clients. Comptes compromis dans les datalakes, vulnérabilités non patchées sur des applications déployées, usurpations d'identité. Laurent Tombois insiste sur un point confirmé par les dernières sanctions de la CNIL : ce sont rarement les outils qui sont en cause, mais la gouvernance qui les entoure. Droits d'administration mal gérés, accès trop permissifs, scénarios de réaction mal travaillés. La partie organisationnelle pèse désormais plus lourd que la partie purement technique.

Trois niveaux d'acteurs, trois logiques de souveraineté

Ce constat général ne se traduit pas par une réponse uniforme. Eric Barbry propose une lecture en trois rangs.

Les acteurs régaliens d'abord (défense, sécurité intérieure, affaires étrangères) pour qui la souveraineté s'impose par le code de la défense ou celui de la sécurité intérieure. Pas de marge de manœuvre. Pas d'arbitrage. Ensuite les secteurs sensibles : banque, assurance, entreprises essentielles, régis par des textes comme DORA ou NIS 2. Ces réglementations n'imposent pas frontalement la souveraineté, mais exigent un niveau d'excellence élevé face aux attaques comme aux accès juridiques d'entités étrangères. Ce qui revient, en pratique, à inviter fortement à rejoindre le monde souverain. Enfin, la grande majorité des acteurs, pour qui la souveraineté relève d'un arbitrage interne.

À lire aussi : Affaire Axios : comment l’Open Source devient la cible des attaques de type supply chain

Julien Levrard éclaire la mécanique qui pousse certains acteurs des deux premiers rangs à aller au-delà du strict minimum légal. Ces entreprises sont soumises à homologation : elles doivent formaliser par écrit les risques qu'elles acceptent.

La différence est simple à formuler, mais lourde à porter. D'un côté, fermer les yeux sur une stratégie full hyperscaler en faisant confiance aux équipes IT. De l'autre, signer un document d'homologation qui acte noir sur blanc que les données pourraient partir aux États-Unis, et que ce risque est assumé. « Le jour où il y a un problème, c'est mon nom qui est écrit en bas de la feuille », résume Julien Levrard. Les architectures cloud ne sont pas que des choix techniques. Ce sont aussi des choix de responsabilité individuelle.

OVHcloud et Bitdefender, la souveraineté par l'alliance

Illustration concrète de cette logique, le partenariat noué fin 2024 entre Bitdefender et OVHcloud. Laurent Tombois en explique la genèse : OVHcloud comme leader du cloud européen, une qualification SecNumCloud déjà obtenue, une relation client préexistante. Côté OVHcloud, la démarche traduit un équilibre assumé entre autonomie et recours ciblé à des briques externes. « On a l'habitude de faire beaucoup de choses nous-mêmes, pour être dépendants le moins possible de tiers et être le plus autonome, le plus souverain possible », rappelle Julien Levrard. « Par contre faire un EDR, un antivirus, on ne sait pas faire. »

La Table Ronde des Experts / Photo : David Marmier

Jusqu'alors, OVHcloud utilisait une version on-premise de Bitdefender, faute de version cloud répondant à ses exigences de souveraineté. Quand les équipes commerciales de Bitdefender ont challengé le choix, la réponse a été limpide : « Quand vous serez souverain, on prendra la version cloud. » Le partenariat a maturé pendant quelques mois avant un passage à l'acte rapide côté ingénierie. L'épisode montre une chose. Même les acteurs européens positionnés sur la souveraineté opèrent dans des architectures hybrides, combinant maîtrise interne et dépendances technologiques sélectionnées en connaissance de cause.

SecNumCloud, l'excellence au prix de vingt-quatre mois

Qualifié sur deux produits, OVHcloud travaille sur SecNumCloud depuis près de sept ans, avant même la version définitive du référentiel. Julien Levrard en donne la physionomie : « SecNumCloud, globalement, c'est 90 % d'exigences de gestion de la sécurité. » Les mesures relèvent du bon sens élevé que l'on retrouve dans les référentiels exigeants, PCI DSS par exemple, mais elles sont revues et validées par des auditeurs et des relecteurs de l'ANSSI réputés sans compromis. « Tant qu'ils n'ont pas une compréhension en profondeur de tous les risques, ils ne donnent pas le tampon », souligne-t-il. Les 10 % restants concernent des exigences de souveraineté, limitées en contenu par le périmètre de l'ANSSI, qui est une agence de sécurité et non un régulateur économique.

D'où un constat partagé. « Ce n'est pas l'alpha et l'oméga de la souveraineté », reconnaît Julien Levrard. SecNumCloud n'apporte pas de garanties juridiques absolues contre l'extraterritorialité, mais couvre un spectre large d'enjeux avec un niveau d'exigence très élevé. Eric Barbry confirme l'effet marché : quand une entreprise obtient le label, il n'y a pas de débat sur son niveau d'excellence.

À lire aussi : William Culbert (Pentera) : "L'IA a créé un niveau zéro de la cybercriminalité"

Reste la question du temps. Vingt-quatre mois, dans le meilleur des cas, pour boucler un dossier quand on est sur le chemin critique. « À la vitesse à laquelle vont l'innovation, les besoins, les enjeux, c'est compliqué de se projeter à trois ans pour sortir un produit », relève Julien Levrard. Un acteur de grande taille peut absorber cette contrainte en pivotant. Un acteur focalisé sur une offre étroite peut aboutir plus vite précisément parce qu'il est concentré. L'acteur moyen, lui, avec son legacy, ses processus existants et son catalogue large, se retrouve dans une équation quasiment « inatteignable ».

EUCS, un standard européen pris en otage

Face à la montée en puissance de SecNumCloud, l'Union européenne devait livrer son propre référentiel avec l'European Cybersecurity Certification Scheme for Cloud Services (EUCS). Le schéma n'est toujours pas adopté. Sur le fond, le texte est pourtant solide, souligne Julien Levrard. Les exigences techniques attendues sont qualitatives, portées par les experts de l'ENISA et des agences nationales dont l'ANSSI. C'est au moment d'y injecter des exigences de souveraineté politique que le consensus s'est brisé entre les Vingt-Sept.

Eric Barbry / Photo : David Marmier

« On est passé à côté de l'opportunité d'avoir un vrai standard de sécurité utilisable », regrette-t-il. Le cadre normatif qui s'impose désormais est celui de la directive NIS 2, en cours d'implémentation. EUCS pourrait réapparaître sous une autre forme, intégré dans ce nouveau contexte réglementaire, mais le moment politique est passé. Laurent Tombois le confirme : à ce stade, SecNumCloud conserve un niveau d'exigence supérieur à ce que prévoit EUCS dans sa dernière version connue.

Pour les acteurs intermédiaires, l'équation du ROI

Le problème du label se déplace alors vers une autre question. Qui peut se permettre d'aller chercher une telle qualification ? Eric Barbry pointe une difficulté rarement nommée : « Je trouve ça très bien pour les grandes boîtes, je trouve ça plus compliqué pour les moyennes et les petites. » Au-delà du référentiel lui-même, les entreprises doivent mobiliser des ressources internes, des frais de conseil, des chartes informatiques, de la documentation organisationnelle, bref un investissement souvent dévastateur pour une ETI ou une PME talentueuse mais dotée de moyens limités. La question finit toujours par revenir. Combien ça va coûter, et pour quel retour ? Le constat vaut d'ailleurs pour d'autres référentiels comme l'ISO 27001 ou le HDS.

À lire aussi : Tribune - Proposition de Code de la sécurité dans le Cyberespace - Souveraineté, attractivité et protection des citoyens

Ce que l'avocat interroge, c'est l'absence d'un label intermédiaire qui offrirait un niveau d'excellence réel, proportionné à la taille et aux moyens des acteurs plus modestes. À défaut, SecNumCloud reste de fait réservé aux acteurs capables de soutenir deux ans de procédure sans garantie d'obtention finale. S'y ajoute le maintien en condition opérationnelle, qu'Eric Barbry souligne : les technologies évoluent en permanence, les certifications doivent suivre, et l'effort initial se prolonge en un travail permanent.

Discrimination économique, l'Europe dindon de la farce ?

Si la souveraineté européenne est un objectif affiché, la question de la préférence nationale reste taboue. À l'intérieur de l'Union, la discrimination entre solutions européennes est juridiquement délicate, au nom de la libre circulation des produits et services. À l'extérieur de l'Union, elle serait juridiquement possible, mais demeure peu pratiquée. Les contre-exemples, eux, ne manquent pas. Yasmine Douadi rappelle qu'en fin 2025, la Chine a donné six mois à ses entreprises pour évincer plusieurs sociétés américaines et européennes de cybersécurité de leurs infrastructures, avec une claire préférence nationale à la clé.

Eric Barbry, sans appeler à dupliquer le modèle chinois, y voit une démonstration : « C'est là où il y a quand même une distorsion, une discrimination, et c'est nous qui la subissons quasiment tout le temps. » Trente années passées dans le droit de l'IT lui inspirent un constat sévère : « On n'est pas capable de se faire des réglementations à nous qui protègent les intérêts de nos entreprises. On n'est pas capable d'avoir un fleuron industriel dans l'IA, dans le cloud ou ailleurs. Au niveau européen, on a réussi des fusées, on a réussi des avions, on n'est pas capable d'avoir un cloud européen. »

À lire aussi : Cybersécurité cognitive : comment les cybercriminels exploitent les failles du cerveau humain

Julien Levrard complète par un point de politique industrielle souvent sous-estimé. Les sociétés américaines ont bénéficié, il y a une quinzaine d'années, de contrats publics massifs qui ont financé à la fois la montée en puissance fonctionnelle de leurs produits et leur croissance internationale. Les acteurs européens doivent se battre sans cet équivalent. « Le jeu est un peu faussé. »

Penser dès maintenant le cloud de demain

Reste à regarder devant. Interrogés sur la capacité de l'Europe à faire émerger des champions technologiques capables de rivaliser avec les mastodontes américains et chinois, les trois intervenants offrent des réponses contrastées. Eric Barbry, prudent : techniquement, sans doute ; juridiquement, non, tant que les États membres feront prévaloir leur souveraineté nationale sur une souveraineté européenne commune. Laurent Tombois, plus optimiste, voit dans le partenariat OVHcloud et Bitdefender une preuve que deux sociétés européennes aux cultures proches peuvent construire une offre commune reconnue.

Julien Levrard, lui, déplace la question. Le cloud de demain sera l'infrastructure d'accueil de l'intelligence artificielle. Là où le cloud a consisté jusqu'ici à empiler des strates (IaaS, PaaS, SaaS), il s'agira désormais de fournir les primitives système que des agents IA viendront consommer pour construire les applications de demain. « Il va y avoir un tamis assez dramatique sur un certain nombre d'outils qui aujourd'hui marchent très bien », prévient-il. L'enjeu stratégique pour les industriels européens de l'IT, OVHcloud en tête, est donc moins de rattraper les hyperscalers sur leur terrain actuel que de proposer, dès maintenant, les primitives qui permettront au marché de construire les systèmes d'information de demain.

À lire aussi : Alain Juillet au Risk Summit : la guerre hybride, clé du nouvel ordre mondial ?

En toile de fond, une leçon se dégage. Le cloud souverain n'est pas un label, ni une localisation géographique, ni même une pile technologique. C'est un objet hybride, à l'intersection du technique, du juridique et de l'organisationnel, qui se matérialise différemment selon le secteur, la criticité et la taille de l'acteur concerné. Et in fine, ce qui tranche, c'est la chaîne de responsabilité qui se met en place : celle du décideur qui signe en bas de la feuille d'homologation, celle du RSSI qui assume l'arbitrage, celle du DSI qui accepte ou refuse un niveau d'exposition. Les architectures suivront.

Ava Hunziker
Journaliste RISKINTEL MEDIA
Restez connectés aux idées qui comptent
Recevez nos émissions en avant-première, accédez aux coulisses des débats, et rejoignez les professionnels qui façonnent l’écosystème Cyber, Tech et Défense.
S’inscrire à la newsletter
Flèche violette pointant vers le coin supérieur droit.
Logo Riskintel Media.Logo du Risk Summit avec un bouclier bleu et rouge à gauche du texte.
NOUS SUIVRE
Logo LinkedInIcône de l’application Instagram avec un motif d’appareil photo simple dans un carré aux coins arrondis.
Entrez en relation avec Riskintel
* Champs obligatoires
Merci ! Votre message a bien été envoyé !
Oups ! Une erreur est survenue, veuillez réessayer.
Mentions Légales
Site Riskintel 2025 - Réalisé par ICONOKOM