Services de sécurité managés : le RSSI n’est pas seul responsable
Benedikt Langer
8 Min. de lecture Dans de nombreuses entreprises, le CISO est perçu comme le responsable de la sécurité. ...
Lire l'article
min de lecture : 8 minutes
80 milliards de dollars américains seront investis dans le monde entier en 2026 dans des infrastructures cloud souveraines. L’Europe double ses dépenses, passant à 12,6 milliards de dollars, et devrait dépasser l’Amérique du Nord dès 2027. Il ne s’agit plus de postes budgétaires informatiques. Ce sont désormais des décisions stratégiques de capital qui doivent figurer à l’ordre du jour des comités de direction.
L’essentiel
- 💰 Les dépenses mondiales liées à la cloud souveraine atteindront 80 milliards de dollars américains en 2026 (Gartner, 11 mars 2026).
- 🇪🇺 L’Europe passe de 6,9 à 12,6 milliards de dollars américains. Une hausse de 83 % en un an.
- 📊 61 % des directeurs informatiques (CIO) d’Europe occidentale augmentent leurs dépenses en faveur de fournisseurs cloud locaux (Gartner).
- ⚖️ La directive NIS2 et le Règlement européen sur les données (EU Data Act) rendent la localisation des données une obligation de conformité, et non plus une option facultative.
- 🏢 DELOS Cloud (Microsoft/SAP/Arvato) entrera en production en 2026 comme solution allemande de cloud souverain.
Pourquoi le comité de direction doit décider de la souveraineté cloud
L’infrastructure cloud était longtemps une décision relevant uniquement du département informatique : quel fournisseur propose les meilleures fonctionnalités au meilleur prix ? Cette époque est révolue. Le rapport de Gartner du 11 mars 2026 montre clairement que la cloud souveraine est devenue une question géopolitique. 61 % des responsables informatiques d’Europe occidentale renforcent leur dépendance vis-à-vis de fournisseurs locaux, motivés par des exigences réglementaires croissantes et des risques géopolitiques.
Pour les membres du comité de direction, cela signifie que le choix du fournisseur cloud n’est plus une décision technique, mais bien une orientation stratégique fondamentale. Celui qui signe aujourd’hui un contrat de cinq ans avec un hyperscaler américain lie son entreprise à une juridiction susceptible de changer à tout moment. Le CLOUD Act, l’arrêt Schrems III, les tensions politiques entre l’UE et les États-Unis : tous ces éléments font du recours au cloud une affaire relevant du comité de direction.
« D’ici 2030, plus de 75 % des entreprises situées hors des États-Unis et de la Chine disposeront d’une stratégie formelle en matière de souveraineté numérique. »
Gartner, Prévision IaaS pour la cloud souveraine, mars 2026
Les chiffres : l’Europe double ses investissements en un an
Cette progression est sans précédent : de 6,9 milliards de dollars américains en 2025 à 12,6 milliards en 2026. Soit une croissance de 83 % en une seule année. À titre de comparaison, l’ensemble du marché européen de l’IaaS connaît une croissance d’environ 25 % sur la même période. La cloud souveraine progresse donc plus de trois fois plus vite que le marché global.
Gartner prévoit que l’Europe dépassera l’Amérique du Nord en matière de dépenses liées à la cloud souveraine d’ici 2027. Ce n’est pas parce que les entreprises américaines investissent moins, mais parce que la réglementation européenne stimule la demande : NIS2, Règlement européen sur les données (EU Data Act), DORA pour le secteur financier, ou encore l’espace européen des données de santé (European Health Data Space), actuellement en cours de mise en place.
Europe 2025
$6,9 Mrd.
Cloud souveraine IaaS
Europe 2026
$12,6 Mrd.
+83 % en un an (Gartner)
Monde 2026
$80 Mrd.
+35,6 % de croissance (Gartner)
Ce que « cloud souveraine » signifie concrètement pour le comité de direction
La cloud souveraine n’est pas un produit homogène, mais un spectre. Pour les membres du comité de direction, distinguer les niveaux est essentiel :
● Résidence des données : les données sont physiquement hébergées dans l’UE. C’est ce que proposent déjà AWS Francfort et Azure West Europe. Il s’agit là du niveau minimal requis, pas d’une véritable souveraineté.
● Contrôle opérationnel : une entreprise européenne exploite l’infrastructure et détient l’accès à la gestion des clés. DELOS Cloud (Microsoft/SAP/Arvato) emprunte cette voie : technologie Microsoft, mais exploitation par Arvato sous droit allemand.
● Souveraineté pleine et entière : fournisseurs européens disposant de leur propre technologie. OVHcloud, IONOS, Stackit (groupe Schwarz). Moins étendues fonctionnellement que les hyperscalers, mais sans aucun risque lié à une juridiction étrangère.
La position opposée : la souveraineté a un coût
Tous les CIO ne sont pas convaincus. Les arguments des sceptiques ne sont pas négligeables : les fournisseurs européens de cloud souveraine ne couvrent pas encore fonctionnellement l’ensemble du spectre offert par les hyperscalers. Leur coût est supérieur de 15 à 30 % par rapport à AWS et Azure. Et leur rythme d’innovation est plus lent, car leurs budgets de développement sont plus modestes.
Pour le comité de direction, il s’agit d’une évaluation classique risque-rendement : combien valons-nous la sécurité réglementaire ? Quel est le coût d’une infraction à la directive NIS2 (amendes pouvant atteindre 10 millions d’euros) ? Que deviendront nos données si la situation politique entre l’UE et les États-Unis se tend davantage ? Ces questions ne relèvent pas du département informatique, mais bien de la réunion du comité de direction.
Trois questions que chaque comité de direction devrait poser dès maintenant
1. Où sont stockées nos données critiques pour l’activité, et qui y a accès sur le plan opérationnel ? Pas seulement sur le plan physique (quel centre de données), mais aussi sur le plan juridictionnel (quelle loi régit le fournisseur) ? Un hyperscaler américain reste soumis au CLOUD Act, même si son centre de données est situé à Francfort.
2. Que se passe-t-il si nous devons changer de fournisseur ? Le verrouillage fournisseur (vendor lock-in) lié à l’infrastructure cloud est une réalité. Vérifiez les clauses de sortie, la portabilité des données et les coûts réels de migration. Le Règlement européen sur les données (EU Data Act) vous offre, à compter de septembre 2025, des leviers juridiques inédits en matière de portabilité.
3. Notre stratégie cloud correspond-elle à la réglementation attendue dans trois ans ? La directive NIS2 n’est que le début. Viennent ensuite DORA pour les services financiers, l’espace européen des données de santé pour le secteur sanitaire, ou encore le Règlement sur l’intelligence artificielle (AI Act) pour les charges de travail liées à l’IA. Celui qui optimise aujourd’hui uniquement sur les coûts devra procéder à des adaptations majeures dans dix-huit mois.
Conclusion : les 80 milliards de dollars ne constituent pas un budget informatique
Le rapport de Gartner du 11 mars le confirme sans ambiguïté : la cloud souveraine n’est plus un sujet de niche, mais un marché de 80 milliards de dollars. L’Europe investit avec une intensité sans précédent. Pour les comités de direction, cela signifie que le recours au cloud n’est plus une délégation au CIO, mais bien une décision stratégique de capital. Celui qui ne prend pas cette décision de façon consciente la prend néanmoins – mais de façon incontrôlée.
Questions fréquentes
La cloud souveraine est-elle plus chère qu’AWS ou Azure ?
Oui, généralement de 15 à 30 %. Mais une simple analyse des coûts est insuffisante. Comparez-la aux coûts d’une infraction à la directive NIS2 (jusqu’à 10 millions d’euros), d’une sanction RGPD ou d’un départ contraint d’un fournisseur (exit). Pour les secteurs réglementés (finance, santé, infrastructures critiques), la prime à la souveraineté est souvent moins coûteuse que le risque de non-conformité.
Pouvons-nous simplement utiliser AWS Francfort et être ainsi considérés comme souverains ?
Non. La résidence des données dans l’UE ne garantit pas la souveraineté. En tant qu’entreprise américaine, AWS est soumise au CLOUD Act, qui autorise les autorités américaines à accéder aux données, même lorsqu’elles sont hébergées à Francfort. Une véritable souveraineté exige un contrôle opérationnel exercé par une entreprise européenne et une gestion des clés située en dehors de la juridiction américaine.
À quel moment la décision concernant la stratégie cloud doit-elle revenir au comité de direction, et non plus au CIO ?
Dès lors que la décision implique des conséquences réglementaires, géopolitiques ou stratégiques durables. Un contrat de cinq ans avec un hyperscaler lie l’entreprise à une juridiction donnée. La directive NIS2 rend la direction générale personnellement responsable de la gestion des risques. Ces deux aspects dépassent largement le cadre des décisions informatiques.
Qu’est-ce que DELOS Cloud et pourquoi est-elle pertinente ?
DELOS Cloud est une coentreprise entre Microsoft, SAP et Arvato (groupe Bertelsmann). Elle propose la technologie cloud Microsoft exploitée par Arvato sous droit allemand. Son lancement en production est prévu pour 2026. Pour les entreprises nécessitant la fonctionnalité Microsoft tout en souhaitant éviter les risques liés à la juridiction américaine, DELOS constitue l’option la plus pragmatique disponible sur le marché allemand.
Devons-nous migrer immédiatement vers la cloud souveraine ?
Pas aveuglément, mais une évaluation rapide s’impose. Recommandation : classez vos charges de travail selon leur sensibilité en matière de données. Les données critiques pour l’activité et celles soumises à une réglementation stricte (finances, ressources humaines, santé) doivent être hébergées sur une infrastructure cloud souveraine. Les charges de travail moins sensibles (développement/test, marketing) peuvent rester sur des hyperscalers. Ce modèle hybride représente le chemin le plus réaliste pour la plupart des entreprises des pays germanophones (Allemagne, Autriche, Suisse).
Lectures complémentaires
- → Souveraineté numérique 2026 : Delos, Gaia-X et Règlement européen sur les données (Digital Chiefs)
- → Agenda des CIO 2026 : entre pression sur les coûts et obligation d’innover (Digital Chiefs)
- → Budget cybersécurité 2026 : ce que le directeur financier doit entendre du directeur de la sécurité informatique (CISO) (Digital Chiefs)
Plus d’articles du réseau média MBF Media
- → Gouvernance des clusters Kubernetes dans les PME (cloudmagazin)
- → Gouvernance des données dans les PME : vérification pratique du DGG (MyBusinessFuture)
Source de l’image : Pexels