1. Pourquoi le cloud souverain est crucial maintenant
La souveraineté numérique n'est plus un mot à la mode politique. Elle est devenue une nécessité économique tangible. Le monde est plus incertain, fragmenté et conflictuel qu'il ne l'était il y a quelques années. Les conflits commerciaux, les changements de pouvoir géopolitiques et les tensions politiques croissantes ont désormais un impact direct sur les infrastructures numériques. Le cloud computing n'en est pas exempt. Les entreprises et les autorités sont donc confrontées à une réalité inconfortable : ceux qui utilisent le cloud aujourd'hui ne décident pas seulement de la technologie, mais considèrent les implications concernant le droit, les dépendances et les risques. Chaque architecture cloud transporte en même temps un régime juridique, un ordre politique et une question de contrôle. Souvent inaperçu. Souvent sous-estimé.
Ce qui était considéré comme une question d'efficacité est maintenant une question de résilience. Les modèles de cloud mondiaux promettent l'échelle et l'innovation, mais apportent en même temps de nouvelles vulnérabilités. Les lois extraterritoriales, les droits d'accès de l'État et les intérêts géopolitiques rencontrent des données hautement sensibles, des processus métier critiques et des tâches gouvernementales. Au plus tard depuis l'intensification des conflits internationaux, il est devenu clair que les dépendances numériques sont de vraies dépendances.
La technologie cloud comme infrastructure stratégique
L'Europe réagit à cela non pas par protectionnisme, mais par nécessité. Le débat sur la souveraineté numérique est l'expression d'un processus d'apprentissage. Il découle de la prise de conscience que la capacité d'action économique ne peut être assurée à long terme sans contrôle juridique et technologique. Le cloud devient ainsi une infrastructure stratégique. Et la souveraineté est une condition préalable à la confiance, à la sécurité et à la viabilité future.
La situation géopolitique a rendu ces dépendances visibles. Les changements de pouvoir mondiaux, les conflits commerciaux et la législation extraterritoriale ont depuis longtemps un impact direct sur les infrastructures informatiques européennes. Le U.S. CLOUD Act permet aux autorités américaines d'accéder aux données des entreprises américaines quel que soit le lieu de stockage physique. Cela est complété par des réglementations telles que le Foreign Intelligence Surveillance Act. Cela montre clairement que les emplacements de serveurs seuls ne créent pas la souveraineté. Le facteur décisif est la loi à laquelle un fournisseur est soumis.
Le chemin nécessaire de l'Europe : la souveraineté numérique mène à la résilience
L'association professionnelle Bitkom classe clairement ce développement. L'Europe doit comprendre la souveraineté numérique comme la capacité d'utiliser les technologies numériques de manière autodéterminée. L'accent est mis sur le contrôle des données, des infrastructures et des processus décisionnels, et non sur la simple origine des fournisseurs individuels. La souveraineté numérique devient ainsi un facteur de localisation et une condition préalable à l'innovation, à la compétitivité et à la confiance dans les services numériques.
Ivanti a développé la solution Ivanti Neurons for MDM — Sovereign Edition — EU pour fournir aux entreprises et aux institutions publiques un accès légalement conforme à la technologie cloud moderne. L'objectif déclaré : ne pas opposer innovation et automatisation aux exigences réglementaires, mais combiner les deux de manière cohérente. La solution est une réponse aux risques géopolitiques croissants et à la réglementation européenne et crée la base d'une utilisation sûre et pérenne du cloud sur le marché européen.
2. Comment les solutions cloud souveraines combinent technologie, opérations et droit
De nombreux fournisseurs réagissent aux développements par de simples ajustements cosmétiques. La plupart du temps, les serveurs sont simplement relocalisés dans l'UE. Les contrats seront complétés. Le noyau juridique reste intact. C'est exactement là que les soi-disant « modèles cloud semi-souverains » échouent.
La véritable souveraineté ne naît que lorsque la technologie, l'exploitation et le droit sont considérés ensemble. L'Ivanti Sovereign Cloud suit exactement cette approche : il combine la puissance technologique d'Ivanti Neurons for MDM avec l'expertise opérationnelle et réglementaire de sector27 en tant qu'opérateur européen entièrement indépendant. Le cloud souverain n'est pas créé par une seule fonction de sécurité. C'est le résultat de l'interaction de mesures techniques, organisationnelles et juridiques. C'est seulement cette combinaison qui rend la souveraineté numérique résiliente et vérifiable.
Ivanti Neurons for MDM comme fondation technologique
La technologie Ivanti sert de fondation à la solution cloud souveraine : Ivanti Neurons for MDM est une solution de gestion unifiée des terminaux basée sur le cloud pour gérer, sécuriser et automatiser en toute sécurité tous les terminaux dans le lieu de travail partout. Elle prend en charge iOS, Android, macOS, Windows, ChromeOS ainsi que les appareils spécialisés et industriels. La plateforme fournit un contrôle centralisé des configurations d'appareils, des politiques de sécurité, des mesures de conformité, de la gestion des applications et de l'accès zero-trust.
L'architecture est hautement disponible, évolutive et conçue pour les environnements réglementés. Ivanti Neurons for MDM répond aux normes de sécurité reconnues et possède, entre autres, les certifications SOC 2 Type II et CSA STAR. L'engagement d'Ivanti envers les principes Secure by Design de la CISA est bien plus qu'une norme américaine. Il constitue la base technologique qui aide les clients à répondre aux exigences européennes telles que la directive NIS2 et le futur EU Cyber Resilience Act (CRA). En renforçant de manière proactive l'infrastructure cloud et en maximisant la visibilité de la chaîne d'approvisionnement logicielle, Ivanti garantit que les clients en Allemagne et en Europe déploient aujourd'hui une solution qui répond aux exigences de sécurité réglementaires de demain.
Ivanti Neurons for MDM valide en permanence les appareils, les utilisateurs et les contextes avant d'accorder l'accès aux ressources d'entreprise. Cela met en œuvre un modèle de sécurité adaptatif qui ne repose pas sur la confiance, mais sur des états vérifiables.
sector27 comme opérateur souverain
Ce qui rend la solution souveraine, cependant, c'est le modèle d'exploitation et sa conception axée sur la sécurité. L'instance Sovereign Cloud est exploitée entièrement par sector27. L'exploitation se déroule sur une infrastructure dédiée située exclusivement dans l'espace juridique européen. L'hébergement et l'exploitation de la plateforme relèvent entièrement de la responsabilité de l'opérateur européen. La souveraineté administrative, le contrôle du système et la responsabilité opérationnelle sont clairement séparés du fabricant de logiciels et sont sécurisés sur le plan organisationnel et technique.
L'environnement technique est basé sur les exigences de la protection de base informatique BSI. Le centre de données utilisé est certifié en conséquence. Cela signifie que non seulement le centre de données, mais surtout les processus d'exploitation des solutions cloud ont été audités. sector27 GmbH planifie, exploite et fournit une plateforme de base standardisée pour les applications spécialisées au nom des clients. L'application spécialisée est soit administrée par les clients eux-mêmes, soit, si désiré, par des partenaires. La plateforme de base se compose de systèmes informatiques avec leurs systèmes d'exploitation requis, l'infrastructure réseau et les systèmes de gestion et de surveillance. Les systèmes sont exploités dans un environnement infrastructurel sécurisé du client. Le périmètre de certification comprend également l'exploitation de systèmes EMM (Enterprise Mobility Management) conformes à l'IT-Grundschutz, qui sont basés sur la plateforme de base.
Les processus pertinents pour la sécurité suivent ainsi un système de gestion de la sécurité de l'information structuré.
Les mesures de disponibilité, d'intégrité et de confidentialité des systèmes sont systématiquement mises en œuvre et régulièrement révisées.
Protection maximale — également pour le personnel
La sécurité du personnel fait également partie intégrante du modèle d'exploitation. La solution répond ainsi aux exigences clés pour une utilisation dans des environnements critiques pour la sécurité et réglementés, et répond en même temps aux exigences définies dans le schéma de certification européenne de cybersécurité pour les services cloud, en particulier au niveau élevé de confiance.
Ivanti lui-même n'a pas d'accès opérationnel aux données de production. Le support côté fabricant est exclusivement anonymisé et chiffré au niveau du troisième niveau. Ivanti n'a pas non plus accès aux données au troisième niveau — à moins que sector27 (ou le partenaire) ne les transmette activement à Ivanti après anonymisation. Cela garantit une séparation organisationnelle et technique claire entre le développement de produits et l'exploitation du cloud.
Déploiement et responsabilités : le modèle Ivanti Sovereign Cloud
La base de cette initiative est Ivanti Neurons for MDM — Sovereign Edition — EU. Alors qu'Ivanti en tant que fabricant reste responsable du développement continu des produits, de la fourniture des mises à jour et de la feuille de route technologique, l'exploitation physique et l'hébergement de l'infrastructure sont effectués exclusivement par le partenaire spécialisé sector27 dans un centre de données européen hautement sécurisé.
Cette structure claire garantit que les clients utilisent toujours un produit Ivanti identique, testé par le fabricant, sur une infrastructure souveraine exploitée par sector27, quel que soit le canal de vente qu'ils choisissent. Elle donne également aux clients la liberté de choisir comment exploiter leurs relations de partenariat existantes sans sacrifier une infrastructure souveraine.
Classification dans le contexte du EU Cloud Sovereignty Framework
L'Ivanti Sovereign Cloud sous la forme exploitée par sector27 a été évalué par le réputé Cyberintelligence Institute selon le Cloud Sovereignty Framework de la Commission européenne. Les huit objectifs de souveraineté définis et les niveaux SEAL respectifs de 0 à 4 sont décisifs.
La solution atteint le niveau de résilience numérique (SEAL-3) dans les dimensions clés.
Ici, le rapport confirme un contrôle européen substantiel sur les opérations, la gouvernance, les structures décisionnelles et l'organisation de la sécurité.
Dans d'autres domaines clés — en particulier la classification juridique, la gestion opérationnelle, la chaîne d'approvisionnement et le développement technologique — un ancrage européen fort est trouvé, bien qu'avec des dépendances structurelles restantes envers les fabricants. Celles-ci concernent principalement le développement de produits en amont et la chaîne d'approvisionnement mondiale, mais pas la souveraineté du service opérationnel du service cloud spécifique.
L'opinion parvient donc à la conclusion que la solution dans son ensemble peut être assignée au niveau SEAL-2 (« souveraineté des données ») avec une approximation claire de SEAL-3 (« résilience des données »).
Les dépendances non européennes restantes ne se situent pas dans le domaine des opérations, du contrôle des données ou de l'organisation de la sécurité, mais dans le développement de produits du fabricant. Pour un fournisseur de logiciels international, cela est structurellement inévitable.
Cela positionne le modèle Ivanti Sovereign Cloud à l'extrémité supérieure de ce qui est réalistement réalisable pour une solution logicielle mondiale sous exploitation européenne.
3. Classification par le Cyberintelligence Institute
La souveraineté ne peut pas seulement être décrite, elle peut être mesurée. C'est exactement là qu'intervient le Cyberintelligence Institute (CII). L'institut est un centre de recherche et d'analyse indépendant et interdisciplinaire axé sur la cybersécurité, la souveraineté numérique et l'évaluation des risques géopolitiques des infrastructures numériques. Il travaille à l'interface de la technologie, du droit et de la politique et conseille les institutions publiques, les entreprises et les organisations pertinentes pour la sécurité. L'objectif du CII est de rendre les dépendances numériques complexes visibles, comparables et évaluables.
Le Cyberintelligence Institute évalue la souveraineté du cloud non pas politiquement, mais structurellement. La question décisive est de savoir si le contrôle européen est substantiel en termes stratégiques, opérationnels et d'organisation de la sécurité et si les références restantes de pays tiers sont critiques ou simplement structurellement en amont.
Dans l'évaluation globale, le rapport constate que des dépendances non européennes matérielles demeurent dans le logiciel et la chaîne d'approvisionnement, mais qu'elles ne dominent pas la gestion opérationnelle du service.
C'est précisément cette différenciation qui est centrale. Le cadre exige une autonomie technologique complète pour SEAL-4, y compris le développement de produits et la chaîne d'approvisionnement. Pour les fabricants internationaux, ce niveau ne peut en fait être atteint que par un développement européen complètement nouveau.
La matrice de risque cloud du Cyberintelligence Institute confirme que la véritable souveraineté ne vient pas de la localisation des données seule, mais de structures de contrôle européennes vérifiables. Ce sont précisément celles-ci qui sont prononcées dans le modèle présent.
Téléchargez l'avis juridique du Cyberintelligence Institute ici.
4. Évaluation juridique de la solution cloud souveraine
Le droit extraterritorial comme risque structurel
Au centre du débat juridique se trouve la question du droit applicable. Le professeur Kipker précise que les réglementations américaines telles que le CLOUD Act et le Foreign Intelligence Surveillance Act en particulier posent un risque permanent pour les utilisateurs européens du cloud. Ces lois permettent l'accès gouvernemental aux données des entreprises américaines quel que soit l'endroit où elles sont stockées. Cela dévalorise juridiquement la localisation physique des données.
Selon le professeur Kipker, les modèles cloud dans lesquels l'exploitation reste sous le contrôle juridique d'un pays tiers ne sont pas compatibles à long terme avec les exigences européennes en matière de protection des données et de sécurité. Cela s'applique en particulier aux clients publics, aux infrastructures critiques et aux industries réglementées.
Limites des modèles cloud semi-souverains
Le professeur Kipker est clairement critique vis-à-vis des approches cloud dites semi-souveraines. Celles-ci incluent des modèles dans lesquels les centres de données sont exploités dans l'UE, mais le contrôle juridique reste avec la société mère étrangère. D'un point de vue juridique, cela ne suffit pas pour établir la souveraineté numérique.
Il souligne que les autorités de surveillance et les législateurs européens distinguent de plus en plus entre la conformité formelle et la capacité de contrôle réelle. Les offres cloud qui ne reposent que sur des clauses contractuelles ou des mesures techniques supplémentaires sans éliminer le pouvoir d'accès juridique ne sont pas durables.
Signification pour la réglementation et l'accès au marché
En vue des réglementations à venir, le professeur Kipker voit un développement clair : NIS2, DORA et le schéma de certification européenne de cybersécurité de la CSA ne resserrent pas seulement les exigences de sécurité, mais aussi de vérifiabilité et de gouvernance. Les modèles cloud qui n'ont pas de structure opérationnelle juridiquement souveraine risquent l'exclusion des domaines d'application sensibles.
Cela est particulièrement pertinent pour le secteur public et pour les entreprises qui font partie de chaînes d'approvisionnement critiques. Ici, la souveraineté du cloud devient une condition préalable à la possibilité d'appel d'offres. Dans ce contexte, le professeur Kipker parle d'un nouveau seuil d'entrée sur le marché pour les fournisseurs de cloud.
Pérennité comme avantage stratégique
Le professeur Kipker souligne également que la souveraineté du cloud ne minimise pas seulement les risques, mais crée également des avantages stratégiques. Les entreprises qui investissent aujourd'hui dans des architectures cloud juridiquement résilientes garantissent la liberté réglementaire, la sécurité de planification et la confiance avec les clients et les partenaires.
La résilience juridique devient ainsi un facteur concurrentiel. Pas comme un principe abstrait, mais comme une condition préalable concrète à la croissance sur les marchés réglementés.
5. Groupes cibles et scénarios d'application
Le cloud souverain n'est en aucun cas un sujet de niche pour des cas spéciaux ou des organisations particulièrement critiques pour la sécurité. Il affecte de plus en plus toutes les entreprises et institutions dont le modèle commercial est basé sur la confiance, la disponibilité et la résilience juridique. Dans une économie numérisée, ce n'est plus l'exception, mais la règle.
Avec une densité réglementaire croissante, le critère de référence se déplace. Les décisions cloud ne sont plus prises uniquement sur la base de la fonctionnalité, du coût ou de l'évolutivité. Elles deviennent partie du risque, de la conformité et de la gouvernance d'entreprise. NIS2, DORA, l'EU AI Act et les régimes de certification à venir tels que l'EUCS indiquent clairement que les infrastructures numériques seront à l'avenir soumises aux mêmes exigences que les processus commerciaux critiques classiques.
Cela signifie que le cercle des organisations concernées s'élargit constamment. Ce qui est encore considéré comme une exigence spéciale du secteur public aujourd'hui deviendra la norme pour les industries réglementées demain et l'horizon des attentes des clients, des partenaires et des autorités de surveillance après-demain. Le cloud souverain devient ainsi une condition préalable plutôt qu'une option.
Administration publique et institutions étatiques
Pour les autorités aux niveaux municipal, régional et fédéral, la souveraineté du cloud est déjà un critère d'attribution central. La protection des données, la confidentialité et la liberté juridique d'accès ne sont pas négociables. Les modèles avec risque extraterritorial sont de facto exclus.
Cela signifie qu'elle répond aux exigences d'utilisation dans des environnements administratifs particulièrement sensibles.
Infrastructures critiques et industries réglementées
L'énergie, la santé, les services financiers, les transports et les télécommunications subissent une pression réglementaire croissante. NIS2 et DORA exigent non seulement la sécurité technique, mais aussi une gouvernance résiliente et des concepts de résilience. Les modèles cloud qui contiennent des incertitudes juridiques augmentent le risque opérationnel. Le Cyberintelligence Institute souligne expressément que de tels risques ne seront plus acceptables à l'avenir.
Entreprises avec des exigences de conformité élevées
Même au-delà des industries d'infrastructure critique classiques, le besoin de solutions cloud souveraines augmente. Les entreprises ayant une présence internationale, des données sensibles ou des exigences de conformité élevées doivent anticiper les développements réglementaires.
Gartner prédit que d'ici 2027, la majorité des organisations multinationales mettront en œuvre une stratégie cloud souveraine explicite. La souveraineté influence de plus en plus le choix du fournisseur.
Pour ces entreprises, la solution offre une sécurité de planification sans avoir à renoncer aux fonctionnalités cloud modernes.
Adopteurs tardifs du cloud et organisations soucieuses de la sécurité
Enfin, la solution s'adresse aux organisations qui ont jusqu'à présent délibérément hésité à utiliser le cloud. Pour elles, la souveraineté est souvent le ticket d'entrée à l'utilisation du cloud.
Un modèle d'exploitation juridiquement robuste, auditable et transparent abaisse les barrières à l'entrée et crée la confiance. C'est un facteur décisif, en particulier dans le domaine de la gestion des terminaux, car les terminaux mobiles représentent souvent un accès sensible aux données d'entreprise.
6. Conclusion
La souveraineté numérique ne peut pas être ajoutée après coup. Elle doit faire partie de l'architecture dès le début. Quiconque ne voit le cloud que comme une infrastructure se trompe sur sa dimension juridique et stratégique.
La solution Ivanti Neurons for MDM — Sovereign Edition — EU montre comment la véritable souveraineté peut être mise en pratique. Pas par des termes marketing, mais par des structures claires. La technologie, l'exploitation et le droit sont entrelacés.
La combinaison d'Ivanti Neurons for MDM comme base technologique et de sector27 comme opérateur européen indépendant répond aux exigences des réglementations actuelles et futures. Elles traitent les risques clés des dépendances extraterritoriales et créent une base résiliente pour la sécurité, la résilience et la confiance.
Le cloud souverain n'est pas une déclaration politique. C'est une décision stratégique. Ceux qui prennent ces décisions aujourd'hui resteront capables d'agir demain.
Références
- Bitkom e.V. : La voie de l'Europe vers la souveraineté numérique, communiqué de presse, 2024.
- Cyberintelligence Institute : Exigences pour la souveraineté nationale et européenne du cloud, Prof. Dr. Dennis-Kenji Kipker, 18.05.2025.
- Cyberintelligence Institute : Matrice de risque cloud et évaluation de la souveraineté, 2026.
- Ivanti : Fiche technique Ivanti Neurons for MDM, 2023.
- Gartner : Prévision du marché de la stratégie Sovereign Cloud, cité dans l'aperçu du marché Ivanti.