Cloud Souverain ou Cloud de Confiance : Le guide pour enfin comprendre la différence

Le grand flou qui règne sur le Cloud français

"Cloud Souverain", "Cloud de Confiance"... Ces termes sont sur toutes les lèvres, des ministères aux comités de direction. Pourtant, une grande confusion demeure. Sont-ils interchangeables ? L'un est-il meilleur que l'autre ? En réalité, ils désignent deux concepts très différents, et comprendre cette nuance est devenu essentiel pour tout DSI en France. La clé de cette différence tient en un mot : certification. Plongeons dans le vif du sujet pour y voir plus clair.

Le Cloud Souverain, une définition de principe

Le "Cloud Souverain" est la vision la plus "pure" de l'indépendance technologique. Dans sa définition la plus stricte, un cloud est considéré comme souverain s'il est opéré par une entreprise dont le siège social est en Europe, sur des infrastructures situées sur le sol européen, et surtout, s'il est totalement soustrait à l'influence de lois non-européennes, notamment le fameux Cloud Act américain. C'est une promesse de contrôle total et d'immunité juridique. Des acteurs historiques français comme OVHcloud ou Outscale (Dassault Systèmes) incarnent cette approche depuis des années.

Le Cloud de Confiance, une garantie de l'État

Le "Cloud de Confiance", lui, n'est pas un principe mais un label d'État, la plus haute garantie de sécurité que la France puisse offrir. Pour être qualifié de "Confiance", un service cloud doit obtenir le visa SecNumCloud 3.2, délivré par l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI).

Ce visa va bien au-delà de la nationalité de l'entreprise. Il impose des centaines de critères techniques, organisationnels et juridiques d'une exigence extrême pour garantir la protection des données les plus sensibles de l'État et des Opérateurs d'Importance Vitale (OIV). Et c'est là toute la subtilité : ce label peut être attribué à des offres basées sur les technologies des géants américains, à la condition expresse qu'elles soient opérées par une entreprise française distincte, sur des serveurs en France, et sans que la maison mère américaine ne puisse avoir accès aux données ou aux opérations.

Qui sont les acteurs du Cloud de Confiance ?

Ce label a rebattu les cartes du marché français. On retrouve d'abord les acteurs historiques du cloud souverain, comme OVHcloud et Outscale, qui ont obtenu la qualification SecNumCloud pour leurs offres, devenant de fait des fournisseurs de "Cloud de Confiance".

À leurs côtés, de nouvelles alliances stratégiques ont vu le jour pour obtenir ce précieux sésame. C'est le cas de Bleu, l'entité formée par Capgemini et Orange qui opérera les services Microsoft Azure et Office 365, et de S3NS, la société co-fondée par Thales et Google Cloud. Ces deux acteurs sont actuellement en cours de qualification pour pouvoir proposer les services des hyperscalers américains tout en respectant le cahier des charges drastique de l'ANSSI.

Conclusion : Une question de besoin, pas d'idéologie

Alors, que retenir ? Le Cloud Souverain est une philosophie d'indépendance totale, tandis que le Cloud de Confiance est une certification de sécurité délivrée par l'État français, qui fait aujourd'hui office de standard pour les données critiques. Pour les administrations et les OIV, le choix est clair : la qualification SecNumCloud est la seule boussole. Le DSI moderne doit donc naviguer entre ces offres, en choisissant la bonne solution pour le bon usage. Chez Thinker, notre rôle est d'aider les fournisseurs IT, qu'ils soient pionniers du souverain ou champions du confiance, à articuler leur valeur unique et à engager des conversations stratégiques avec les DSI pour les guider dans ce paysage complexe.