Souveraineté des données et infrastructures critiques : quand la gouvernance devient de l'infrastructure

Sujet: Souveraineté des données et infrastructures critiques : quand la gouvernance devient de l'infrastructure
Date: 29 mai 2026

Pendant des années, la souveraineté des données était un sujet pour juristes et DPO. Le 1er mars 2026, des drones iraniens ont frappé deux data centers AWS aux Émirats arabes unis et un troisième à Bahreïn. EC2, S3, DynamoDB sont tombés. Careem, Emirates NBD, Snowflake ont signalé des interruptions de service. Pour la première fois dans l'histoire du cloud, une infrastructure hyperscale commerciale était une cible militaire délibérée. La question de savoir où réside la donnée, sous quelle juridiction, avec quelle redondance physique, n'est plus un problème de conformité. C'est une question de résilience opérationnelle au sens le plus littéral. En Europe, la NIS2 est en cours de transposition - avec retard, France en tête. La gouvernance des données souveraines est désormais une composante d'architecture, pas une couche réglementaire surajoutée.

Le 1er mars 2026, à 7h19 heure du Golfe, AWS a publié sur son Health Dashboard une note indiquant que des "objets" avaient frappé deux de ses data centers dans la région ME-CENTRAL-1 aux Émirats arabes unis, provoquant "étincelles et incendies". Un troisième site à Bahreïn a subi des dommages collatéraux. Les systèmes de suppression d'incendie activés ont généré des dégâts supplémentaires par l'eau. Deux des trois zones de disponibilité de la région sont tombées hors ligne.

L'Uptime Institute a qualifié l'événement de première attaque militaire délibérée confirmée contre un fournisseur cloud hyperscale. Les médias d'État iraniens ont décrit les frappes comme des coups portés à "l'infrastructure technologique de l'ennemi". C'est la première fois que ce vocabulaire s'applique à des serveurs EC2.

Ce que personne n'avait modélisé

Les architectures cloud sont conçues pour la résilience logicielle : pannes de serveurs, coupures réseau, défaillances de composants. La redondance multi-zones suppose que les trois zones de disponibilité d'une région ne tombent pas simultanément. Elles n'avaient jamais été modélisées comme cibles d'une frappe coordonnée de drones. La CISA avait émis des avertissements sur l'élévation des risques physiques pesant sur les infrastructures critiques alignées avec les États-Unis dans le Golfe dans les semaines précédant les frappes. AWS n'avait publié aucune communication cliente sur ce risque.

La juxtaposition est nette : les data centers AWS dans la région étaient physiquement positionnés à proximité d'installations militaires américaines et de sites gouvernementaux pro-américains — des catégories de cibles documentées dans la doctrine iranienne depuis 2019. L'attaque sur les installations pétrolières d'Aramco en 2019 avait démontré la capacité iranienne à opérer des essaims de drones à grande échelle. Les données sur les localisations AWS dans la région étaient accessibles via les cartographies de zones de disponibilité publiées par Amazon elle-même.

L'infrastructure comme déclaration d'intention

L'article du World Economic Forum publié début avril 2026 l'a formulé directement : les données souveraines ne peuvent plus être dissociées des cadres de résilience globaux. Gartner, dans ses Top Strategic Technology Trends pour 2026, place la souveraineté comme composante inséparable de la résilience et de la confiance numérique - non plus comme obligation réglementaire mais comme exigence d'architecture de base. La différence n'est pas sémantique : elle déplace la souveraineté des données du bureau du DPO vers la table du comité d'architecture.

Plus de 100 pays ont adopté une forme de cadre de localisation ou de souveraineté des données. 72% des entreprises européennes déclarent que la souveraineté est un critère prioritaire dans le choix de leurs fournisseurs technologiques. Ces chiffres coexistent avec une réalité contraire : la majorité des workloads critiques européens tournent toujours sur des infrastructures dont les centres de décision juridique et opérationnel sont américains.

AWS European Sovereign Cloud : l'oxymore opérationnel

Le 15 janvier 2026, AWS a officiellement lancé son European Sovereign Cloud — une infrastructure isolée des autres régions AWS mondiales, déployée en Allemagne pour 7,8 milliards d'euros, avec un système IAM dédié, une facturation indépendante, et un engagement de conformité soumis à audit tiers. C'est une réponse directe à la demande de souveraineté du marché européen. C'est aussi une réponse conçue par le même acteur dont les data centers venaient d'être frappés au Moyen-Orient.

Airbus avait lancé en décembre 2025 un appel d'offres pour migrer ses systèmes critiques vers un cloud européen souverain — contrat de 50 millions d'euros sur dix ans, démarrage janvier 2026. Le Schleswig-Holstein a migré 40 000 boîtes mail de Microsoft vers des solutions open source. Ces mouvements sont réels. Ils sont aussi lents. Et ils mesurent la distance entre la déclaration d'intention souveraine et la migration effective des actifs critiques.

NIS2 : la transposition qui n'arrive pas

La directive NIS2 devait être transposée dans tous les États membres de l'UE au plus tard le 17 octobre 2024. La France n'a pas respecté ce délai. Au 12 mars 2026, la transposition n'est pas encore finalisée. Le gouvernement a choisi d'intégrer NIS2 dans un texte législatif plus large sur la résilience des infrastructures critiques et la cybersécurité — une approche cohérente sur le fond, qui a produit un allongement significatif du calendrier. L'ANSSI a mis à disposition le Référentiel Cyber France le 17 mars 2026. La promulgation finale est attendue "au cours de 2026".

Le périmètre de la directive est substantiel : entre 15 000 et 18 000 entités françaises seront concernées, contre environ 500 sous NIS1. Les secteurs couverts incluent l'énergie, les transports, la finance, la santé, les eaux, les télécommunications, l'espace, les administrations publiques. Les amendes prévues pour les entités essentielles atteignent 10 millions d'euros ou 2% du chiffre d'affaires mondial. La Commission européenne a par ailleurs proposé en janvier 2026 d'étendre la portée de NIS2 aux infrastructures de transmission de données sous-marines — une extension directement motivée par les sabotages de câbles en mer Baltique et les risques autour de Taïwan.

Le paradoxe est documenté par les données Scality : en 2026, la cyber-résilience devient une condition vérifiable pour exercer une activité commerciale. Les assureurs cyber resserrent leurs critères de souscription et exigent des preuves techniques de recouvrabilité, pas seulement des déclarations d'incidents. Le stockage immuable, la rétention cryptographiquement vérifiable et la validation automatisée des procédures de reprise deviennent des prérequis contractuels — indépendamment de la transposition législative.

Mars 2026, Fujairah

Des travailleurs étrangers ont photographié une colonne de fumée noire au-dessus de la zone industrielle de Fujairah le 3 mars 2026. C'était l'un des sites AWS touchés. La photo a circulé avant le communiqué officiel d'Amazon. L'action AMZN a reculé de 2% dans la journée. AWS avait recommandé à ses clients de sauvegarder leurs données et d'envisager une migration vers d'autres régions.

La recommandation de migrer vers "d'autres régions AWS" dans le contexte d'une attaque militaire ciblant des sites AWS est le genre de phrase qui mérite d'être relue lentement.

TL;DR

Les frappes de drones iraniens sur des data centers AWS aux Émirats le 1er mars 2026 ont transformé la souveraineté des données d'obligation réglementaire en exigence d'architecture militaire. L'Europe légifère encore.

Le 1er mars 2026, des drones iraniens ont frappé trois data centers AWS au Moyen-Orient — première attaque militaire délibérée sur un hyperscale cloud, selon l'Uptime Institute. EC2, S3, DynamoDB ont été mis hors ligne dans la région ME-CENTRAL-1.
AWS a lancé son European Sovereign Cloud le 15 janvier 2026 (7,8 milliards d'euros, Allemagne) pour répondre à la demande de souveraineté européenne — pendant que 72% des entreprises du continent déclarent la souveraineté comme critère prioritaire de choix fournisseur.
La France n'a pas transposé NIS2 dans les délais (octobre 2024) : au 12 mars 2026, le texte est toujours en cours d'adoption, avec 15 000 à 18 000 entités en attente de classification réglementaire.

Questions fréquentes

Qu'est-ce que les frappes sur AWS au Moyen-Orient changent concrètement pour les DSI européens?

Elles valident ce que les architectes de résilience répètent depuis 2019 : la redondance multi-zones ne protège pas contre une attaque coordonnée sur une région entière. Les plans de continuité d'activité doivent intégrer des scénarios de défaillance géopolitique, pas seulement technique. La question du fournisseur alternatif hors zone de conflit devient un critère d'architecture standard.

L'AWS European Sovereign Cloud offre-t-il une réelle souveraineté ou est-ce du marketing?

Le produit existe avec une isolation technique réelle : régions dédiées, IAM séparé, audit tiers. Mais la souveraineté juridique reste partielle : AWS demeure une entité américaine soumise au Cloud Act. Pour les workloads classifiés ou relevant de la défense, cette limite est rédhibitoire. Pour les autres, c'est un compromis documenté — à condition de ne pas le confondre avec une indépendance complète.

Pourquoi la France n'a-t-elle pas transposé NIS2 dans les délais, et quel risque cela représente-t-il?

La France a choisi un véhicule législatif plus ambitieux qui couple NIS2 à la directive CER sur la résilience des entités critiques — cohérent sur le fond, mais plus long à adopter. Le risque opérationnel : les 15 000 entités concernées ne peuvent pas encore s'enregistrer, et les décrets d'application techniques ne sont pas publiés. En attendant, les assureurs cyber, eux, n'attendent pas le Journal Officiel.

Article rédigé par Hamadi Lanouar