Le conflit au Proche-Orient a touché des serveurs. Ceux-ci n’ont pas attendu les bombes pour connaître des dysfonctionnements qui paralysent les entreprises et font perdre des milliards de dollars. Et si l’on repensait la cartographie des risques ?
Le cloud sous les bombes, vos données dans la ligne de tir
Dans la nuit du 1er au 2 mars 2026, des drones iraniens ont frappé des data centers d'Amazon aux Émirats arabes unis et à Bahreïn. AWS a officiellement demandé à ses clients d'activer leurs plans de continuité. Des services numériques se sont paralysés dans tout le Golfe.
C'est la première fois dans l'histoire qu'une puissance militaire détruit délibérément l'infrastructure cloud d'un hyperscaler américain. Ce n'est pas un incident de sécurité. C'est un risque majeur pour les entreprises et organisations.
La cible, c'est aussi vous
Téhéran a justifié ses frappes en affirmant que le data center de Bahreïn supportait les opérations de la 5e Flotte américaine. Vrai ou faux, le raisonnement est implacable : les mêmes serveurs qui hébergent vos données RH, vos applications métier, vos fichiers clients peuvent aussi traiter des données militaires américaines. Vous ne le savez pas. Vous ne pouvez pas le savoir. Et cette ignorance ne vous protégera pas.
Personne dans les comités de direction n'avait inscrit "destruction physique du data center" dans sa cartographie de risques. Il est temps de le faire.
Ce que trente-six ans d'opérations m'ont appris
Je ne parlerai pas de ce qui doit rester classifié. Mais la première règle qu'un chef militaire intègre avant d'entrer à l'École de guerre, c'est celle-ci : on ne concentre jamais des fonctions critiques sur un nœud unique. Jamais. Parce qu'un adversaire compétent le trouvera et le frappera.
AWS, Microsoft Azure et Google Cloud détiennent ensemble plus de 70% du marché cloud en Europe. Nous avons construit, collectivement, exactement ce que la doctrine militaire nous interdit de construire en croyant faire des économies.
La panne ne demande pas de visa
Il n'est même pas nécessaire d'invoquer la guerre pour que ce raisonnement s'applique à votre prochain conseil d'administration. Le 20 octobre 2025, une défaillance AWS a contraint des services hospitaliers à revenir aux procédures papier. Neuf jours plus tard, une erreur de configuration Azure a paralysé Alaska Airlines, Starbucks, Costco et des opérateurs télécoms pendant huit heures — pour un impact économique de plusieurs milliards de dollars. Entre juin et décembre 2025, chacun des trois grands hyperscalers a subi au moins une panne majeure.
Quelle est la durée maximale d'interruption tolérable pour vos systèmes critiques ? Votre architecture actuelle vous garantit-elle de la respecter quand votre hyperscaler tombe ? Si vous n'avez pas ces réponses, vous avez un problème de gouvernance et certainement de technologie.
Hors la loi, et souvent sans le savoir
NIS2, dont la transposition française est en cours, impose à quelque 15 000 à 18 000 entités des plans de continuité et de reprise d'activité. DORA, entré en vigueur début 2025, impose aux institutions financières une gestion explicite du risque de concentration chez les prestataires cloud tiers.
Je pèse mes mots : toute organisation qui a migré ses systèmes critiques vers un hyperscaler unique sans plan de reprise souverain est hors la loi. Et dans la moitié des cas, le DSI le sait parfaitement : il n'a simplement pas eu le budget pour faire autrement.
La réalité des coûts du cloud
La promesse était simple : moins de capital immobilisé, moins de complexité opérationnelle, plus d'agilité. La réalité du coût total de possession est plus sombre. Egress fees, abonnements cumulés, hausses tarifaires unilatérales sur des clients captifs : selon Numeum (décembre 2025), 57% des DSI français ont dû arbitrer d'autres postes budgétaires pour absorber la hausse de leurs coûts cloud. Une croissance portée non par de nouveaux usages, mais par des fournisseurs qui savent que vous ne pouvez pas partir.
Au verrou technologique s'ajoute désormais un verrou tarifaire. Pour un directeur financier, c'est un risque budgétaire structurel et non maîtrisé, à inscrire dans les risques fournisseurs au même titre qu'une dépendance à matière première unique.
Le Cloud Act n'est pas une clause contractuelle
Les données hébergées chez des acteurs américains restent soumises au droit américain, même stockées sur sol européen. Le Cloud Act autorise les autorités des États-Unis à y accéder. Aucune clause de votre contrat ne peut résoudre cette contradiction avec le RGPD. Dans un contexte où Washington assume ouvertement une doctrine America First, ce n'est plus une hypothèse juridique. C'est un risque de contrepartie que vos cabinets d'audit devraient cartographier comme tel.
Une réponse technique existe : le chiffrement avec clés sous contrôle exclusif du client. Elle suppose de ne pas avoir abandonné la maîtrise de son infrastructure. Beaucoup l'ont malheureusement fait.
Une architecture hybride — et les acteurs pour la construire
Je dois être honnête : j'ai longtemps sous-estimé les atouts opérationnels des hyperscalers américains. Leur scalabilité, leurs services avancés, leur disponibilité globale sont réels. Le problème n'est pas leur compétence. C'est notre dépendance exclusive.
La réponse souveraine ne se construira pas en imitant AWS. Aucun acteur européen ne deviendra un hyperscaler global en dix ans. La voie crédible est différente : des spécialistes européens, leaders mondiaux sur leur segment, capables de s'assembler en offre cohérente.
Ces acteurs existent. Sur la couche infrastructure, sur le stockage objet (celui qui porte les données critiques, les sauvegardes, les archives réglementaires), des éditeurs européens servent aujourd'hui les plus grands médias mondiaux, des opérateurs télécoms de premier rang, des institutions financières sous contrainte réglementaire forte. Ils ont la preuve par l'usage. Sur la sécurité, les acteurs qualifiés SecNumCloud couvrent l'essentiel de la chaîne de valeur. La technologie est là.
Ce qui manque n'est pas la technologie. C'est la coalition commerciale … et la doctrine d'achat public qui la rende lisible pour un décideur pressé face à un commercial AWS bien préparé. L'État français finance chaque année sa propre dépendance numérique étrangère via ses marchés publics. Ce n'est pas une fatalité. C'est un choix. Des dispositions existent dans les textes européens et nationaux pour justifier un choix souverain au titre de la sécurité nationale. Elles sont trop peu utilisées faute de doctrine claire. Il faut produire cette doctrine, et sécuriser juridiquement ceux qui l'appliquent.
L'heure de la décision
Trois signaux en vingt mois. Le sabotage ferroviaire des Jeux olympiques de juillet 2024. La cascade de pannes hyperscalers de l'automne 2025. Les data centers du Golfe de mars 2026. Dans chaque cas : un point de défaillance unique, des organisations surprises sans véritable plan de secours.
Chaque euro placé dans un cloud dont vous ne maîtrisez ni la localisation réelle ni la résilience physique est un risque non valorisé dans votre bilan. Vos régulateurs le voient, vos assureurs commencent à le pricer, vos conseils d'administration vous poseront bientôt la question.
Les dirigeants qui attendront un quatrième signal pour inscrire la résilience numérique dans leur plan stratégique assumeront une responsabilité que personne autour d'eux ne leur pardonnera. Les compétences existent. Les solutions existent. Ce qui manque… je cherche à ne pas dire "a décision parce que c'est trop simple. Mais c'est exactement ça. La décision.
Laurent Boïté, Ex-général de division (2S) de l'Armée de l'air et de l'espace, ancien commandant des Forces françaises à Djibouti, ancien responsable de la stratégie numérique des armées — Senior Vice President, Scality.