Klaerenn
⌘K
Klaerenn
Tribunes

Cloud souverain : et si la France arrêtait de rater le virage ?

Depuis 2008, la France enchaîne les échecs sur le cloud souverain. Andromède, Gaia-X, Cloud de confiance... En 2025, nouvelle tentative. Sera-t-elle différente ?
Cloud souverain : et si la France arrêtait de rater le virage ?

Depuis 2008, la France tente, sans succès, de faire émerger une alternative nationale et européenne dans le cloud. La relance annoncée en 2025 sera-t-elle différente ?

Depuis plus de quinze ans, l'État français cherche à réduire sa dépendance technologique dans le domaine du cloud. Du projet Andromède (2011) à la doctrine "Cloud de confiance" (2021), en passant par les initiatives européennes comme Gaia-X, les tentatives se sont succédé, mais aucune n'a vraiment changé la donne. En avril 2025, le gouvernement relance un "cloud souverain à la française". Faut-il s'en réjouir ou craindre un énième rendez-vous manqué ?

Un diagnostic lucide, mais une exécution défaillante

La France a très tôt identifié le cloud comme un enjeu de souveraineté. Dès 2008, son Plan France Numérique évoque la nécessité de "répondre aux enjeux de souveraineté et de sécurité liés à l'émergence de ces technologies." Le Patriot Act (2001), puis le Cloud Act (2018), ont mis en lumière les risques juridiques liés à l'hébergement de données sensibles sur des infrastructures contrôlées par des entreprises américaines.

Cette prise de conscience a donné lieu à une première initiative ambitieuse : le projet Andromède en 2011, soutenu par 135 millions d'euros d'investissements publics, aboutissant aux offres Cloudwatt (Orange/Thales) et Numergy (SFR/Bull). L'intuition était juste, mais l'exécution s'est révélée désastreuse. Dès 2015, ces projets sont abandonnés, n'ayant convaincu ni administrations ni entreprises.

Le diagnostic d'échec est sans appel : architectures trop rigides, absence d'écosystème de services et d'applications, manque d'expérience utilisateur, et approche trop institutionnelle. Comme le constatait un observateur industriel en 2016 : "On a cru qu'il suffisait de construire des data centers pour faire un cloud. Or, le cloud n'est pas une infrastructure, c'est un modèle économique et d'usage."

À partir de 2018, l'État change de stratégie : il mise sur une doctrine d'usage, avec la circulaire "Cloud au centre", et sur une certification de sécurité avec le visa SecNumCloud délivré par l'ANSSI. Le constat est lucide : plutôt que de bâtir une infrastructure ex-nihilo, mieux vaut encadrer et sécuriser l'adoption du cloud. En 2021, nouvelle inflexion : faute d'acteurs 100% français compétitifs, le gouvernement accepte des alliances avec des hyperscalers américains. Ainsi naissent les offres Bleu (Orange + Capgemini + Microsoft Azure) et S3NS (Thales + Google Cloud).

Pourtant, ces dispositifs, aussi pertinents soient-ils sur le papier, peinent à inverser la tendance. En 2025, entre 70 et 90% du cloud consommé en France reste d'origine américaine. Le marché français du cloud, estimé à plus de 25 milliards d'euros, demeure dominé à 80% par trois acteurs : Amazon Web Services, Microsoft Azure et Google Cloud. L'observatoire de la souveraineté numérique, récemment créé, ne fait que confirmer cette dépendance structurelle.

Quand la sécurité devient une barrière à l'adoption

L'obsession sécuritaire de l'État français, incarnée par la certification SecNumCloud, a paradoxalement freiné l'émergence d'un cloud souverain compétitif. Ce label, pensé pour les besoins critiques de l'État, impose des exigences telles que seuls quelques grands acteurs peuvent y prétendre, au prix d'investissements considérables et d'une grande inertie.

Cette approche a généré trois effets contre-productifs :

  1. Une offre élitiste et appauvrie : en 2023, seules 7 offres étaient qualifiées SecNumCloud, essentiellement concentrées sur l'infrastructure (IaaS), avec peu ou pas de services managés comparables aux grands hyperscalers. Pour une startup ou une PME, ce catalogue apparaît dramatiquement limité face aux milliers de services disponibles chez AWS ou Azure.
  2. Un découplage entre sécurité et création de valeur : la souveraineté est présentée comme un centre de coût (+30 à +70% sur certains services labellisés vs. cloud public standard), sans valorisation métier équivalente. Pour une entreprise, le discours "choisissez la sécurité" se traduit concrètement par "payez plus pour moins de services" – une équation économiquement intenable.
  3. Une vision régalienne déconnectée des usages : pensée pour les administrations, cette approche ignore les besoins spécifiques des entreprises innovantes : time-to-market rapide, flexibilité, écosystème de développeurs, interopérabilité, etc.

En somme, la France a mis la sécurité avant l'usage, transformant le cloud souverain en projet de conformité plutôt qu'en opportunité de transformation économique. C'est l'exact opposé de la méthode qui a fait le succès des hyperscalers: attirer d'abord les développeurs et les usages, puis renforcer progressivement la sécurité et la conformité.

Des offres qui ne convainquent pas, une demande fragmentée

Sur le marché français, les fournisseurs certifiés peinent à décoller. Leur offre reste centrée sur l'infrastructure, alors que la demande porte sur des services applicatifs (SaaS, IA, PaaS). Leur expérience développeur, leur catalogue de services et leur écosystème sont trop limités pour rivaliser avec les géants américains.

En parallèle, l'adoption du cloud par les entreprises françaises reste paradoxalement faible. En 2020, seules 29% des entreprises utilisaient des services cloud, contre 54% en moyenne dans l'Union européenne, et plus de 70% dans les pays nordiques. En 2023, malgré une progression, la France reste en-dessous de 40% d'adoption. Ce retard est encore plus marqué chez les PME : à peine 5% sont certifiées ISO 27001, et la majorité reste mal préparée à la directive NIS2.

Cette contradiction entre l'exigence de souveraineté et le retard d'adoption technologique crée un cercle vicieux : trop peu d'entreprises utilisent le cloud pour générer une demande massive de solutions souveraines, et les solutions souveraines sont trop limitées pour accélérer l'adoption du cloud.

Le pari européen : entre espoir et désillusion

Face à ces défis, la France a misé sur la coopération européenne. Le projet Gaia-X, lancé en 2019 avec l'Allemagne, visait à créer un écosystème cloud fédéré européen. L'ambition était noble : définir des règles d'interopérabilité et de confiance permettant aux acteurs européens de collaborer sur un pied d'égalité.

Mais le projet s'est rapidement enlisé dans les contradictions. L'ouverture de Gaia-X aux acteurs non-européens (y compris les hyperscalers américains) a provoqué des tensions. En novembre 2021, Scaleway quittait l'initiative, dénonçant "l'étrange ouverture aux acteurs extra-européens pour un projet présenté comme le futur cloud souverain européen."

Si Gaia-X a permis de sensibiliser aux enjeux de souveraineté numérique, il n'a pas encore produit d'alternatives concrètes et massivement adoptées. L'IPCEI Cloud-Edge, lancé en 2023 avec 5 milliards d'euros de financements, représente un nouvel espoir, mais sa concrétisation industrielle reste à démontrer.

Repartir de l'usage, pas du dogme

Relancer un cloud souverain en 2025 ne peut être une simple affaire de doctrine ou de communication. Pour réussir, cette nouvelle initiative doit rompre avec quinze ans d'approche technocratique et adopter une stratégie centrée sur quatre piliers :

  1. Penser plateforme, pas infrastructure : le cloud souverain doit proposer un écosystème complet (compute, stockage, bases de données, IA, API, analytics) avec une expérience développeur de premier plan. Il doit être "opinionated" – c'est-à-dire avoir sa propre philosophie produit – tout en restant ouvert et interopérable.
  2. Activer la demande, pas seulement l'offre : la commande publique doit jouer un rôle de locomotive, avec des appels d'offres massifs dans la santé, l'éducation, la défense et la recherche. Le couplage avec les exigences réglementaires (NIS2, RGPD, secteur financier) peut créer un effet d'entraînement sur le secteur privé.
  3. Investir là où la bataille n'est pas perdue : plutôt que de tenter de rattraper AWS sur l'IaaS, mieux vaut se positionner sur les prochaines vagues : IA souveraine, edge computing, cloud quantique, ou plateformes sectorielles (santé, énergie, industrie 4.0).
  4. Gouverner autrement : le pilotage doit sortir des silos administratifs et associer régulateurs (ANSSI, DINUM), industriels (grands groupes, PME, startups) et utilisateurs finaux. Il faut une instance agile, dotée d'un mandat clair et de moyens d'exécution rapides.

La dernière chance de 2025

L'initiative annoncée par Clara Chappaz en avril 2025 peut-elle réussir là où les précédentes ont échoué ? Rien n'est moins sûr. Pour inverser la tendance, il faudra une rupture profonde dans la conception même du projet : penser en termes d'usage et d'adoption massive, pas uniquement de souveraineté défensive.

Souveraineté ne signifie pas autarcie, mais contrôle et choix. Pour l'instant, nous avons échoué à créer une alternative qui donne envie aux entreprises et aux développeurs. Le défi n'est pas seulement technologique, il est culturel et économique.

Ce qui est en jeu dépasse largement la question du cloud : c'est la capacité de la France et de l'Europe à exister dans l'économie numérique du XXIe siècle. Après quinze ans de rendez-vous manqués, l'opportunité de 2025 pourrait bien être la dernière.

Initialement publié sur LinkedIn le 2025-04-16

More like this

Les faucons du numérique

Les faucons du numérique

Une vulnérabilité, c'est une faille à corriger. C'est ce qu'on nous apprend. Un rapport de l'Atlantic Council dit l'inverse : c'est un actif stratégique à exploiter. Et ses auteurs savent de quoi ils parlent — leurs financeurs fabriquent les armes qui en dépendent.
Lord of Cyber War

Lord of Cyber War

La dernière lettre de marque américaine remonte à 1812. Deux siècles plus tard, le Congrès envisage de ressusciter l'instrument. Pour lutter contre le cybercrime, dit-on. L'explication ne tient pas. Quelque chose d'autre se prépare.
Le dernier canal

Le dernier canal

« Le renseignement était authentique. C'était là toute sa beauté. » Le 7 janvier, les États-Unis se sont retirés de trois forums de coopération cyber. Le 9 janvier, la CISA a clôturé dix Emergency Directives. Moins une maturation qu'un arbitrage contraint.
I Am Altering the Deal

I Am Altering the Deal

On January 7, 2026, the United States withdrew from the Hybrid CoE, the Freedom Online Coalition and the GFCE. Three Western cyber forums abandoned. European dependencies remain intact.
I Am Altering the Deal

I Am Altering the Deal

Le 7 janvier 2026, les États-Unis ont quitté le Hybrid CoE, la Freedom Online Coalition et le GFCE. Trois forums cyber occidentaux abandonnés. Les dépendances européennes, elles, restent intactes.
Final report, 2026. Third officer reporting.

Final report, 2026. Third officer reporting.

600 millions de données exposées. 50 organisations majeures compromises. EDR en place, SOC opérationnel, conformité respectée. Elles ont quand même été compromises. Bilan 2025.