Cloud de confiance ou illusion de souveraineté ? Thales et Google certifiés SecNumCloud par l’ANSSI

L’Agence nationale de la sécurité des systèmes d’information (ANSSI), autorité française chargée de la cybersécurité et de la protection des données sensibles, vient de délivrer sa certification SecNumCloud 3.2 — la plus exigeante d’Europe — à S3NS, la coentreprise entre Thales, pilier français de la défense, et Google. C’est une première : une structure intégrant des capitaux américains franchit ce seuil, présenté comme un rempart contre l’extraterritorialité des lois américaines ou chinoises.

Ce label ouvre l’accès aux secteurs publics les plus sensibles en France — administration, santé, défense — mais la résilience réelle du dispositif reste incertaine. S3NS combine les technologies IaaS et PaaS de Google Cloud, notamment pour les données et l’intelligence artificielle, tout en affirmant respecter les normes françaises et européennes… du moins selon le communiqué officiel.

Souveraineté numérique : protections et limites

Mais cette autonomie numérique, largement mise en avant par S3NS, tient-elle réellement face aux contraintes opérationnelles du quotidien ? Le label souverain de l’ANSSI tranche officiellement : aucun ingénieur de Google n’accédera jamais aux systèmes internes de S3NS. Hélène Bringer, présidente de S3NS, l’a confirmé lors d’une conférence de presse :

« Le personnel de Google n’aura jamais accès aux systèmes S3NS. »

En cas de panne complexe, Google demeure en retrait : une simple assistance à distance, par vidéoconférence, est prévue pour guider les équipes françaises, sans accès direct aux infrastructures.

Pourtant, même le PDG de la coentreprise, Cyprien Falque — qui vantait la souveraineté de ses services bien avant l’obtention du label — reconnaît à demi-mot que l’indépendance totale relève encore du mirage. Dans la réalité opérationnelle du cloud, la résilience nationale se heurte à des contraintes concrètes — un aveu rare, loin des promesses creuses souvent portées par les technocraties bruxelloises.

Bruxelles sous tension : la certification S3NS ravive le bras de fer sur la souveraineté cloud

À Bruxelles, la décision de l’ANSSI relance avec force le débat sur l’Eurostack, ce projet européen de cloud et d’intelligence artificielle aux accents protectionnistes, également connu sous le nom de CAIDA. Les autorités françaises, aux côtés de leurs homologues allemands du BSI, planchent déjà sur l’élaboration d’un « score de souveraineté » destiné à évaluer ces initiatives.

Les hyperscalers américains – Amazon, Google, Microsoft – font grise mine. Pour Alexandre Roure, responsable des politiques chez CCIA Europe, le lobby tech de l’Atlantique, pousser ces géants à monter des coentreprises avec des acteurs locaux, comme l’a fait Thales avec Google pour S3NS, ne suffit pas à assurer la souveraineté du cloud.

« Ce serait une approche similaire à celles adoptées par l’Inde et la Chine, des modèles contre lesquels l’UE et ses alliés se battent depuis des décennies », a-t-il rappelé.

Les exigences du label de l’ANSSI demeurent strictes : un siège social implanté dans l’Union européenne et des participations étrangères plafonnées à moins de 39 %. Avec S3NS, le nombre d’entreprises françaises bénéficiant de cette certification s’élève désormais à dix.

IMPORTANT - À lire

Vous voulez aller plus loin dans l'analyse de la souveraineté numérique européenne, ses enjeux et ses limites ? Découvrez notre revue mensuelle, qui décrypte en profondeur les coulisses de la géopolitique du cloud et de l'IA.

Chaque mois, plongez au cœur des débats qui agitent Bruxelles et Paris sur ces questions stratégiques. Avec des analyses fouillées et des éclairages inédits, suivez l'évolution du bras de fer entre l'Europe et les géants américains du numérique.

Découvrir la revue mensuelle Géopolitique Profonde   →