Après la France, Thales et Google Cloud étendent leur modèle de cloud souverain à l'Allemagne. Une nouvelle entité 100 % allemande qui promet d'isoler les données des entreprises et organismes publics allemands et européens de toute législation extraterritoriale américaine.
Nouvelle percée des hyperscalers américains dans le domaine du cloud souverain. Google Cloud a signé un nouveau partenariat avec Thales afin de lancer une région de cloud souverain européen en Allemagne. L'entité, présentée comme 100 % allemande, sera à l'image de S3NS : détenue et contrôlée par Thales, et reposant sur la technologie de Google Cloud. Son modèle technologique et opérationnel sera celui de l'offre PREMI3NS de S3NS en France, qualifiée SecNumCloud 3.2 en 2025.
La direction et le personnel seront allemands. L'infrastructure, elle, sera isolée, exploitée en Allemagne et soumise au droit local, donc « totalement autonome vis-à-vis de Google Cloud », et en théorie, du droit extraterritorial des États-Unis. Cette organisation doit en effet garantir qu'aucun tiers ne puisse accéder aux données stockées et traitées.
« Ce partenariat répond directement aux attentes des entreprises et des organismes publics allemands qui souhaitent bénéficier de la puissance technologique de Google Cloud sous un contrôle allemand total », s'est exprimé dans un communiqué Christoph Ruffner, directeur général de Thales en Allemagne. Il poursuit : « nous apportons une solution qui garantit la protection des workloads sensibles contre toute législation extraterritoriale, tout en répondant aux exigences uniques de sécurité et de conformité de nos clients. »
Une offre conforme aux C5 et C3A de la BSI
Cette nouvelle région est d'ores et déjà accessible en version d'essai et sera rendue disponible d'ici fin 2026. Elle devra répondre aux exigences réglementaires locales, notamment les critères C5 et le cadre C3A (Criteria for Cloud Computing Autonomy) de l'Office fédéral de la sécurité de l'information (BSI). Pour rappel, la première certification définit des exigences pour les fournisseurs de services cloud visant à garantir le respect des directives de sécurité du gouvernement allemand et à fournir l'assurance des mesures de sécurité mises en place par le fournisseur. Récemment dévoilé, le référentiel C3A couvre plusieurs axes liés à la souveraineté stratégique, juridique et des données, entre autres.
Le fournisseur de services cloud doit par exemple être en mesure de déconnecter toutes les connexions réseau non européennes sans compromettre la disponibilité, l'intégrité, l'authenticité ni la confidentialité du service. Il doit mener un exercice de déconnexion au moins une fois par an et démontrer la capacité à maintenir le service pendant 90 jours sans dépendance à des entités non européennes.
Alors que les tensions géopolitiques, y compris avec l'allié américain, vont croissant, ce critère vise à protéger du risque de « kill switch » — la crainte qu'un État puisse couper un service numérique. Face aux craintes suscitées par une telle éventualité, et la pression réglementaire européennes, les hyperscalers, Google Cloud, Microsoft Azure, AWS jouent la carte de la souveraineté pour rassurer leurs nombreux clients. Et ils sont nombreux. Rappelons que, selon le Cigref, 80 % des dépenses européennes en logiciels et en services cloud professionnels sont au bénéfice d'entreprises américaines.
