Lors d'AWS re:Invent 2025, Amazon Web Services a dévoilé en détail son approche de la souveraineté numérique avec l'AWS European Sovereign Cloud après l'annonce intiale en octobre 2023. Cette initiative marque un nouveau tournant dans la manière dont un fournisseur de cloud américain peut répondre aux exigences européennes les plus strictes en matière de souveraineté.
Le paradoxe de la souveraineté traditionnelle
Historiquement, les organisations du secteur public et les industries réglementées ont dû faire un choix difficile : soit opter pour des infrastructures on-premise ou des clouds souverains ayant une taille et un catalogue de services moindre mais offrant un contrôle total, soit renoncer à certaines garanties de souveraineté pour bénéficier de la puissance du cloud public.
Cette approche traditionnelle présente des avantages indéniables en termes de contrôle et de conformité réglementaire. Cependant, elle peut créer une tension entre souveraineté et sécurité opérationnelle. Les infrastructures de plus petite échelle disposent généralementde de moins de ressources pour maintenir le niveau de sécurité nécessaire face aux menaces modernes. Les attaques par ransomware, par deni de service, les violations de données et les campagnes de phishing sophistiquées ciblent régulièrement des services gouvernementaux et des infrastructures critiques, parfois orchestrées par des acteurs étatiques. Dans certains cas, la recherche d'un contrôle maximal via des infrastructures plus modestes peut paradoxalement exposer à des vulnérabilités que des plateformes plus importantes peuvent mieux contrer grâce à leurs investissements massifs en sécurité et leur surveillance continue.
Une philosophie : "Souveraineté by design"
L'approche d'AWS se distingue par une philosophie claire : la souveraineté doit être intégrée dès la conception, sans compromis sur la puissance et l'échelle du cloud.
Les fondations : l'isolation régionale stricte
Dès 2008, lors du lancement de sa première région en Europe (Irlande), AWS a fait un choix architectural fondamental qui la différencie de nombreux concurrents. Plutôt que de créer une infrastructure mondiale transparente où les données pourraient circuler librement, AWS a choisi de montrer les "coutures" entre les régions.
Concrètement, cela signifie que :
- Les données stockées dans une région AWS y restent et ne sont jamais déplacées par AWS
- Chaque région fonctionne de manière quasi-autonome avec sa propre copie des services
- Un incident dans une région n'impacte pas les autres
Cette architecture "souveraine by design" s'applique déjà à toutes les régions commerciales d'AWS et permet à l'immense majorité des clients d'opérer dans ces régions "classiques".
L'allergie aux données clients
AWS a développé ce qu'ils appellent une "allergie" aux données clients. L'objectif : héberger les workloads sans jamais avoir accès au contenu. Cette philosophie se traduit en particulier par la mise en place des puces AWS Nitro qui créent des barrières techniques empêchant physiquement AWS d'accéder aux données chiffrées des clients. On peut également comprendre cela au travers du modèles de responsabilité partagé, L'utilisateur n'est pas responsable des couches basses (hyperviseur, hardware, datacenter) et ne peut en aucun cas y acceder et de meme AWS ne peut accéder aux workloads et à leurs données.
L'AWS European Sovereign Cloud : aller encore plus loin
Malgré ces garanties robustes, certains cas d'usage nécessitent des contrôles supplémentaires portant sur l'identité des opérateurs, la gouvernance légale et l'autonomie opérationnelle complète. C'est pour répondre à ces besoins qu'AWS lance l'AWS European Sovereign Cloud.
Une séparation totale
Cette nouvelle région, différente des regions commerciales, est une partition entièrement dédiée, physiquement et logiquement séparée du reste de l'infrastructure AWS. Basé dans le Brandebourg en Allemagne, il est établi sous une entité juridique européenne indépendante (AWS European Sovereign Cloud GmbH).
Les différences clés sont :
- Opérations 100% européennes : exclusivement gérées par des citoyens de l'UE basés dans l'UE, la plateforme n'est pas opérable depuis l'exterieur de l'UE.
- Identité et facturation dédiées : comptes et facturation séparés du reste d'AWS et même une facturation en nativement en euros
- Résidence des métadonnées renforcée : non seulement le contenu client, mais aussi les métadonnées liées (tags, configurations,...) restent dans l'UE, aucune dépendance des services AWS globaux.
- Aucune dépendance externe : tous les systèmes nécessaires au fonctionnement sont dans l'UE
Les détails qui font la différence
AWS a poussé l'autonomie jusqu'aux moindres détails techniques :
Autorité de certification racine européenne : Pour la première fois, AWS opère une autorité de certification racine dédiée entièrement dans l'UE, avec des cérémonies de signature de clés réalisées en Europe.
DNS européen : Le service Route 53 dédié utilise des domaines européens (.eu, .de, .fr) pour l'hébergement des serveurs de noms, contrairement aux domaines .com, .net, .org utilisés globalement.
Réseau et connectivité autonomes : Bien que connecté au backbone mondial AWS pour les performances, le cloud dispose de connexions de transit backup via des fournisseurs européens pour garantir l'autonomie complète en cas de besoin.
Centre d'opérations de sécurité dédié : Une équipe de sécurité européenne avec un leadership européen surveille et gère tous les aspects sécurité.
Code source dans l'UE : Une copie du code source nécessaire au fonctionnement des services est conservée dans les frontières de l'European Sovereign Cloud.
Une gouvernance transparente
La structure de gouvernance inclut :
- Un directeur général et un responsable de la sécurité citoyens européens
- Un conseil consultatif de quatre membres (dont un indépendant) agissant dans l'intérêt du cloud souverain
- Un cadre de référence pour la souveraineté traduisant les exigences en contrôles auditables
- Une documentation exhaustive de tous les contrôles de souveraineté pour accélérer les certifications
Une expérience AWS complète
L'aspect remarquable de cette approche est qu'elle ne sacrifie rien de la puissance d'AWS. Les clients bénéficient de :
- 80 services presents dès le lancement (dont Bedrock!)
- Les mêmes APIs et SDKs
- Un écosystème de partenaires avec des offres dédiées
- Une tarification nativement en euros
Pour qui et pourquoi ?
L'AWS European Sovereign Cloud s'adresse spécifiquement aux :
- Organisations du secteur public
- Industries hautement réglementées
- Workloads qui ne sont pas encore dans le cloud en raison de préoccupations de souveraineté
Attention ce n'est pas une destination par défaut pour migrer des workloads existants des régions commerciales, qui offrent déjà d'excellentes garanties de souveraineté. Il s'agit plutôt de débloquer l'adoption du cloud pour des cas d'usage critiques qui en étaient jusqu'ici exclus. Rappelons aussi que par son design cette nouvelle region nécessite la mise en place d'une landing zone distincte.
Les questions qui persistent
Le fameux Cloud Act américain s'applique-t-il ? En plus des barrieres techniques déjà évoquées, ans l'European Sovereign Cloud, seuls des opérateurs européens ont le contrôle opérationnel, et seules les lois européennes s'appliquent à ces opérations (qui ne peuvent avoir lieu que depuis l'union européenne).
Qu'en est-il des menaces internes ? AWS considère les menaces d'initiés et l'espionnage comme faisant partie de son modèle de menace de base. Approbations multi-personnes, surveillance continue et contrôles détectifs en profondeur sont la norme, souvent au-delà de ce que peuvent mettre en place les organisations elles-mêmes.
La continuité d'activité est-elle garantie ? En cas de séparation géopolitique, l'European Sovereign Cloud continuerait à fonctionner indéfiniment, grâce à ses opérateurs européens et à l'absence de dépendances externes (Code source disponible et compétences nécessaires pour realiser des évolutions présentes au sein de l'UE).
Un investissement de 7,8 milliards pour l'Europe
Cette initiative représente un investissement de 7,8 milliards de dollars et s'appuie sur une présence significative d'AWS en Europe : l'UE abrite le plus grand groupe d'équipes d'ingénierie AWS en dehors des États-Unis, notamment à Dublin et Berlin. Des services fondamentaux comme AWS Nitro et CloudWatch ont été développés en Europe.
L'European Sovereign Cloud est construit "en Europe, par l'Europe, pour l'Europe", avec environ 5000 développeurs européens impliqués dans sa conception, son développement et sa sécurisation.
Conclusion : vers un nouveau paradigme ?
L'AWS European Sovereign Cloud propose une approche ambitieuse de la souveraineté numérique, tentant de concilier contrôle strict et puissance du cloud AWS. Reste à savoir si cette initiative marquera véritablement un tournant dans la manière dont les organisations européennes les plus sensibles abordent le cloud public.
Plusieurs questions demeurent ouvertes : les garanties opérationnelles et juridiques proposées répondront-elles pleinement aux exigences des régulateurs européens ? Les organisations du secteur public et des industries réglementées seront-elles convaincues par cette séparation entre infrastructure souveraine et technologie américaine ? Et surtout, ce modèle permettra-t-il effectivement de débloquer l'adoption du cloud pour des workloads critiques qui en sont aujourd'hui exclus ?
Le lancement imminent de cette infrastructure apportera des éléments de réponse concrets. Ce sont les cas d'usage qui émergeront, les retours des régulateurs et l'adoption réelle des clients public qui détermineront si l'AWS European Sovereign Cloud représente une véritable innovation en matière de souveraineté numérique, ou simplement une variation supplémentaire dans le paysage déjà complexe des offres cloud souveraines.
Une chose est certaine : le débat sur la souveraineté numérique en Europe est loin d'être clos, et cette initiative d'AWS en constitue un nouveau chapitre dont il faudra suivre l'évolution avec attention.
