Le constat est sans appel. Malgré les grands discours sur la nécessité de voir émerger un cloud européen souverain, le secteur reste très largement dominé par les géants américains. Selon les estimations du cabinet Synergy Research, Amazon Web Services, Microsoft Azure et Google Cloud concentrent à eux seuls près de 70 % du marché européen. Les fournisseurs continentaux, eux, peinent à s’imposer et ne dépassent pas 15 % de parts de marché.

Si l’illusion d’un cloud entièrement souverain s’est rapidement dissipée, les stratégies multi-cloud s’imposent désormais comme un compromis pragmatique. Elles permettent de répondre aux exigences, souvent réglementaires, de protection des données sensibles pour certaines applications, tout en continuant à bénéficier des performances et des écosystèmes logiciels des hyperscalers américains pour les autres usages.

Cette hybridation devrait être renforcée par de nouvelles initiatives législatives européennes, à commencer par le Data Act. Entré en vigueur en septembre, ce cadre réglementaire vise notamment à supprimer les principales barrières érigées par les géants américains du cloud pour migrer vers un autre prestataire. Sont particulièrement visés les frais de transfert de données, souvent prohibitifs, qui peuvent décourager les entreprises de changer d’offre.

Obligations d'interopérabilité

Le Data Act introduit également des obligations d'interopérabilité entre les différentes plateformes cloud. Celles-ci ne sont cependant pas encore établies. Elles feront l’objet d’une étude menée par la Commission européenne afin d'harmoniser, voire de renforcer, les standards existants. Aucune date d’application concrète n’est pour l’instant mentionnée.

En attendant, certains régulateurs nationaux ont pris les devants. C’est le cas notamment de l’Arcep en France. L'été dernier, l'autorité a ouvert une consultation publique dans le cadre de la loi SREN, destinée à sécuriser et réguler l’espace numérique. Elle souhaite imposer aux fournisseurs de cloud la publication d’informations détaillées sur le niveau de portabilité de leurs services, afin de permettre aux “clients potentiels de faire leur choix de façon éclairée”. 

L’Arcep entend également garantir la disponibilité et la stabilité de la documentation des API, ces interfaces de programmation indispensables à la gestion des applications dans des environnements multi-cloud.

“Cloud de confiance”

En misant sur des architectures interopérables, les entreprises européennes peuvent donc concilier deux impératifs. Celui de la sécurité des données sensibles, placées à l’abri des lois extraterritoriales américaines, et celui de la performance, grâce à la puissance de calcul et aux logiciels avancés des géants du secteur.

Un facteur pourrait toutefois rebattre les cartes: la montée en puissance des “cloud de confiance”. Lancé en 2021 par le gouvernement français, ce label concerne des offres hybrides associant un acteur national et un fournisseur américain, avec l’ambition d’offrir “le meilleur des deux mondes”: souveraineté des données et accès aux innovations technologiques de pointe.

Deux plateformes se sont déjà positionnées sur ce segment: S3NS, issu du partenariat entre Thales et Google, et Bleu, né du rapprochement entre Microsoft, Orange et Capgemini. Mi-décembre, S3NS a franchi une étape clé en obtenant la certification SecNumCloud délivrée par l’Agence nationale de la sécurité des systèmes d’information (Anssi), un sésame indispensable lui ouvrant les portes des administrations et des entreprises manipulant des données sensibles.