← AI War Room
Cybersécurité

Cubbit - Commvault : quand le logiciel américain de backup certifie la souveraineté européenne du stockage

Tech4B2B · · 4 min (mis à jour le )
Illustration : Cubbit - Commvault : quand le logiciel américain de backup certifie la souveraineté européenne du stockage
  • Sujet: Cubbit - Commvault : quand le logiciel américain de backup certifie la souveraineté européenne du stockage
  • Date:
Cubbit, startup italienne de stockage géo-distribué fondée à Bologne, annonce une intégration technologique certifiée avec Commvault, éditeur américain coté spécialisé dans la résilience enterprise. La combinaison permet aux organisations européennes d'utiliser l'infrastructure DS3 de Cubbit comme destination de sauvegarde dans Commvault, avec contrôle de la localisation des données, gestion des clés cryptographiques et couverture GDPR, DORA et NIS2. Le périmètre initial cible les entreprises italiennes avant une extension européenne. Ce partenariat arrive dans un contexte d'accélération réglementaire — la Commission européenne a attribué en avril un contrat cloud souverain de 180 millions d'euros, et la proposition de Cloud and AI Development Act vise un cadre de souveraineté unifié pour 2027. La question que ni Cubbit ni Commvault ne posent dans leur communiqué : Commvault reste un éditeur américain soumis au CLOUD Act, et c'est uniquement la couche stockage qui est souveraine, pas la couche logicielle.

Cubbit a annoncé jeudi une intégration technologique certifiée avec Commvault. Disponible immédiatement, elle permet aux organisations de désigner l'infrastructure DS3 de Cubbit comme destination de sauvegarde et de rétention longue dans les flux Commvault existants. Les clients ont le choix entre DS3 Cloud, la version entièrement managée, ou DS3 Composer déployé on-premises. Dans les deux cas, les données restent sur infrastructure européenne. La localisation — à l'échelle de l'Union ou à l'échelle d'un État membre — est configurable. Le client conserve la gestion des clés cryptographiques.

Cubbit est une startup bolonaise de soixante employés, co-fondée par Alessandro Cillario et Stefano Onofri, qui a levé 12,5 millions de dollars en juillet 2024, avec LocalGlobe et ETF Partners en lead. Elle génère environ 12,6 millions de dollars de revenus annuels et revendique plus de 400 organisations clientes. Sa technologie DS3 découpe les données en fragments chiffrés, les répartit sur un essaim de nœuds physiques distribués géographiquement — chez des partenaires locaux — et les présente comme un unique pool de stockage S3-compatible. L'approche consomme 25 à 50% moins d'espace disque que le stockage cloud classique, selon les chiffres propres à Cubbit.

Commvault, côté américain

Commvault est américain, coté au Nasdaq (CVLT), et ses produits — dont Cleanroom Recovery, Cloud Rewind et Air Gap Protect — font partie du paysage enterprise backup depuis deux décennies. Sa force, comme le note une analyse comparative récente de Deepak Gupta sur l'univers des solutions ransomware-résilientes, est d'être particulièrement adaptée aux clients qui sont déjà dans son écosystème. Pour des évaluations greenfield, les alternatives plus récentes comme Rubrik ou Cohesity offrent généralement une expérience d'achat plus claire.

Commvault a fait de DORA et NIS2 un axe commercial explicite, positionnant ses capacités de Cleanroom Recovery comme permettant des tests de récupération réguliers dans des environnements isolés — une exigence directement visée par DORA Chapter II et Chapter IV. L'intégration avec Cubbit ajoute la dimension de localisation des données à ce dispositif.

La question que l'annonce ne pose pas : Commvault est soumis au CLOUD Act américain, qui autorise les autorités américaines à contraindre des entreprises sous juridiction américaine à fournir des données stockées à l'étranger. La distinction clé pour les entreprises européennes n'est plus seulement où les données sont stockées, mais qui contrôle l'infrastructure — si le fournisseur est sous juridiction américaine, une conformité RGPD complète ne peut pas être garantie. Dans la configuration Cubbit-Commvault, la couche stockage est européenne et souveraine ; la couche logicielle de gestion des sauvegardes, elle, reste américaine.

Cillario a présenté l'accord comme une validation de l'ancrage de DS3 dans le marché européen : "Cubbit s'impose comme la technologie européenne de référence pour la gestion des données auprès des grands clients et des institutions." Vincenzo Granato, directeur général de Commvault Italia, a évoqué de son côté "des organisations qui font face à une croissance exponentielle des données combinée à un paysage de menaces de plus en plus complexe."

Bologna, avril 2026

Cubbit accumule les partenariats depuis dix-huit mois. En novembre 2025, l'intégration avec CTERA a été annoncée — services de fichiers distribués sur fond de stockage objet DS3. En septembre 2025, HERABIT, filiale numérique du groupe Hera, a lancé une offre commerciale sur trois datacenters italiens avec une capacité initiale de deux pétaoctets. En avril 2026, Cubbit et GARR, le réseau académique et de recherche italien, ont déployé le premier réseau de stockage géo-distribué fédéré pour les universités et établissements de recherche en Italie, avec un pétaoctet initial réparti sur infrastructure on-premises distribuée. Cubbit figure aussi parmi les acteurs d'un "disaster recovery pack" européen annoncé récemment avec SUSE, Elemento Cloud et StorPool Storage, ciblant les scénarios où un fournisseur existant couperait l'accès à ses services.

Le contexte réglementaire travaille dans la direction de Cubbit. En avril, la Commission européenne a attribué un contrat cloud souverain de 180 millions d'euros sur six ans aux entités institutionnelles de l'Union, avec quatre contractants retenus pour éviter le lock-in — dont un consortium belgo-franco-luxembourgeois s'appuyant sur S3NS, la coentreprise Thales-Google Cloud. La Commission a proposé en Q1 2026 le Cloud and AI Development Act, qui introduit un cadre d'évaluation de la souveraineté cloud à l'échelle de l'Union avec des niveaux allant jusqu'à un contrôle complet de la chaîne logicielle sans interférence d'un pays tiers. La feuille de route cible 2027.

Le partenariat avec Commvault est qualifié de "supported technology integration" — une certification d'interopérabilité, pas un accord OEM ou une revente exclusive. Pour les DSI qui utilisent déjà Commvault en production, l'ajout de DS3 comme destination de stockage souveraine est une modification de configuration, pas un projet d'infrastructure. Pour ceux qui évaluent Commvault dans le cadre d'une mise en conformité DORA ou NIS2, Cubbit devient un argument de localisation supplémentaire dans un marché où Rubrik, Cohesity et Veeam restent les alternatives les plus citées.

Cubbit n'a pas encore annoncé de clients nommés utilisant la combinaison DS3 + Commvault.

TL;DR

La couche stockage est souveraine. La couche logicielle reste américaine.

  • Cubbit et Commvault certifient une intégration permettant aux organisations européennes d'utiliser l'infrastructure DS3 comme destination de backup souveraine, avec contrôle GDPR, DORA et NIS2 de la localisation des données.
  • Cubbit multiplie les partenariats depuis dix-huit mois — CTERA, HERABIT, GARR, Commvault — et se positionne comme couche de stockage souveraine pour des éditeurs qui, eux, restent sous juridiction américaine.
  • La proposition de Cloud and AI Development Act (CADA) et le contrat souverain de 180 millions d'euros de la Commission accélèrent la demande, mais le critère de souveraineté complet implique aussi de regarder qui contrôle le logiciel de gestion, pas seulement où les octets résident.

Questions fréquentes

Qu'est-ce que ça change concrètement pour un DSI qui utilise déjà Commvault ?

L'ajout de DS3 comme destination de stockage est une modification de configuration, pas un projet. Il adresse la localisation des données et la gestion des clés — ce qui peut suffire pour satisfaire des exigences DORA ou NIS2 liées au stockage des sauvegardes.

Commvault étant un éditeur américain, peut-on vraiment parler de souveraineté ?

Pas de manière complète. La couche stockage est souveraine chez Cubbit ; la plateforme logicielle de gestion des sauvegardes reste chez Commvault, soumis au CLOUD Act. La souveraineté est partielle — une réalité que le communiqué conjoint ne nomme pas.

Cubbit a-t-il la taille critique pour être un partenaire de confiance sur le long terme ?

Soixante employés, 12,6 millions de dollars de revenus : c'est une startup en expansion, pas un acteur consolidé. Le risque de dépendance à un partenaire unique s'applique ici aussi — l'ironie n'est pas mince pour un discours centré sur l'indépendance.

Article rédigé par Hamadi Lanouar
Le brief tech qui compte
Chaque matin à 7h, les 5 signaux tech B2B à ne pas manquer.