6min

Le Cloud Sovereignty Framework : un premier pas pour l’évaluation de la souveraineté

En octobre 2025, la Commission européenne a publié un document intitulé Cloud Sovereignty Framework. Il définit les critères de souveraineté, les niveaux d'assurance et la méthodologie de notation de la Commission européenne pour évaluer la souveraineté des services cloud sur les plans stratégique, juridique, opérationnel et technologique.
Cybersecurity Platform

Regard sur cette initiative en 3 questions à Pierre-Louis Mauratille, Directeur des Opérations chez HarfangLab.

Que contient le Cloud Sovereignty Framework ? 

Pierre-Louis Mauratille : Le Cloud Sovereignty Framework est un document concis de 6 pages qui établit une grille de critères permettant aux soumissionnaires d’appels d’offres publics européens d’évaluer le niveau de souveraineté d'un service cloud. Il s’appuie sur d’autres initiatives européennes telles que le cloud de confiance en France, le Souveräner Cloud en Allemagne, ou encore les référentiels de l’ENISA, NIS 2 ou DORA.

Ce framework permet de prendre en compte différents aspects de la souveraineté avec des objectifs pour chacun : souveraineté stratégique, légale et juridique, opérationnelle, technique, de la chaîne d'approvisionnement, des données et des systèmes d’IA, de la sécurité et de la conformité, soutenabilité environnementale. 

L’atteinte des différents objectifs est mesurée par le Sovereignty Effectiveness Assurance Level (SEAL) sur une échelle allant de 0 à 4. Le framework propose également un score de souveraineté calculé à partir des résultats obtenus sur les différents critères.

Cette approche incluant les multiples dimensions de la souveraineté permet aux acteurs du marché de l’évaluer en fonction de leur contexte et de leurs besoins. En effet, les enjeux de souveraineté sont différents pour une entreprise par rapport à une institution publique ou une industrie critique.

Quelles garanties pose le Cloud Sovereignty Framework pour la souveraineté d’un service cloud ? 

Pierre-Louis Mauratille : L'intérêt de ce framework réside dans le fait qu’il n’a pas vocation à poser des contraintes, mais il permet d’indiquer des niveaux de souveraineté pour les différentes dimensions d’un service cloud. A partir de ces données, le mandataire d’un appel d’offres peut choisir le niveau de souveraineté souhaité pour les différents aspects d’un service en fonction de ses propres priorités. C’est une démarche qui prend en compte la complexité de la souveraineté. En effet, aujourd’hui, un service est rarement monolithique mais composé de différentes briques, voire de services tiers, et une évaluation des différentes dimensions de la souveraineté est mieux adaptée.

Un service cloud repose sur différents composants, et c’est une des raisons pour lesquelles, même si la souveraineté est une priorité, il faut savoir rester ouvert. La souveraineté est cruciale et la cohérence sur toute la chaine de valeur également. Mais pour un fournisseur de solution, la porte doit rester ouverte et permettre les meilleurs choix technologiques tout en veillant à préserver l’autonomie stratégique et la confidentialité des données. Ainsi, de la même façon qu’une organisation choisit un fournisseur sur des critères de performance, le fournisseur lui-même doit être en mesure de construire la solution la plus performante en répondant aux exigences de souveraineté, mais sans qu’elle devienne un critère bloquant et contre-productif.

Le Cloud Sovereignty Framework fait aussi l’objet de critiques. Pourquoi ?

Pierre-Louis Mauratille : Le Cloud Sovereignty Framework est remis en question par le CISPE (Cloud Infrastructure Service Providers in Europe), pointant son caractère trop vague pour être réellement contraignant en termes de souveraineté, et remettant en question le calcul du score de souveraineté qui serait désavantageux pour les acteurs européens.

En pratique, les fournisseurs américains dominent encore largement le marché. Microsoft Azure, Amazon Cloud Services et Google Cloud représentent 70% des revenus générés par des services cloud en Europe. Cette tendance soulève une autre question en plus de la souveraineté des données : quid de la disponibilité des services si nos alliés commerciaux d’aujourd’hui ne le sont plus demain ? La construction d’un écosystème européen souverain vise aussi à assurer notre autonomie stratégique. C'est la raison pour laquelle nous avons notamment fait le choix de travailler avec OVH, partenaire de confiance de longue date, pour la version cloud de notre plateforme.

Néanmoins, la Commission européenne ne pouvait pas ignorer le contexte actuel dans l’élaboration de son framework, au risque d’être inapplicable en l’état. Mais il ne tient qu’à nous de consolider cette souveraineté en choisissant des acteurs européens pour envisager à terme un cadre peut-être plus contraignant en termes de souveraineté, qui pourra réellement être appliqué par un plus grand nombre de parties prenantes sur le marché.

Quel est le score de souveraineté d’HarfangLab ?

HarfangLab - Sovereignty score EU framework

Le score de souveraineté d'HarfangLab est de 97%

  • Souveraineté stratégique - 4
    Equipes basées 100% en UE, siège social est situé en France ; souveraineté et autonomie stratégiques garantissant la continuité totale des services même en cas d'interruption des services hors UE ; capacité de se déployer dans n'importe quel environnement, y compris On-premises ou en cloud privé ; participation aux initiatives UE en matière de cybersécurité.
  • Légal et réglementaire - 4
    Données hébergées 100% en UE, contrats conformes à la législation française, aucune exposition au CLOUD Act ni à la législation hors UE.
  • Souveraineté des données et IA - 4
    Traitement des données et entraînement des modèles d'IA effectués en interne et stockés en UE, ce qui garantit une autonomie totale sur le cycle de vie des données et permet d'éviter le recours à des outils hors UE.
  • Souveraineté opérationnelle - 4
    Equipes Produit et Support basées en UE, aucune dépendance vis-à-vis de technologies hors UE, technologie entièrement ouverte pour éviter la dépendance aux fournisseur tiers et faciliter l'intégration.
  • Supply chain - 3.5
    Visibilité et traçabilité optimale pour l'ensemble des fournisseurs, y compris les fournisseurs internationaux.
  • Souveraineté technologique - 4
    Aucune dépendance critique vis-à-vis de technologies propriétaires situées en hors UE, contrôle total sur les mises à jour et les audits du code, stack logicielle ouverte (100 % compatible API), outils open source (Sigma, YARA).
  • Conformité et sécurité - 4
    Conformité RGPD, certification ISO 27001 en cours, hébergement SecNumCloud, conformité PCI-DSS. Certifications CSPN (ANSSI) et BSI (BSZ), audits internes réguliers.
  • Développement durable - 3.5
    Politiques RSE (HarfangLab, OVH), optimisation de l'empreinte carbone.

Cybersécurité et souveraineté :
quels sont les enjeux et comment choisir la bonne solution ?

Lire l'article

Plus d'articles

Cybersecurity Platform

Guillaume Dubuc, RSSI : "Sensibiliser est un effort de long terme."

Guillaume Dubuc est le RSSI d’Altitude Infra, 3ème opérateur d’infrastructure de fibre optique en France. Comment convaincre son board, sensibiliser…

En savoir plus
7min
Stratégie cyber
Cybersecurity Platform

Jules Quenet : "Il faut collaborer entre RSSI des universités."

L’Université de Rennes, située au cœur de la Région Bretagne et en lien avec Rennes Métropole et son écosystème, est…

En savoir plus
7min
Stratégie cyber
Cybersecurity Platform MITRE Evaluations

Risque cyber pour les secteurs sensibles : comment protéger l'espace de travail

Les menaces qui pèsent sur l’espace de travail des secteurs sensibles sont multiples et sophistiquées : espionnage et vol de…

En savoir plus
13min
Stratégie cyber
Blog Cybersecurity Platform

La gamification, un outil clé pour sensibiliser ?

Pour sensibiliser les collaborateurs à la cybersécurité, de nombreuses entreprises proposent de nouveaux types de formations en ligne, sous forme…

En savoir plus
4min
Stratégie cyber