Rawf8 - stock.adobe.com
AWS EU Sovereign Cloud : l’étendard de la « souveraineté » technique est disponible
AWS annonce la disponibilité générale de sa région dédiée EU Sovereign Cloud. Reste à savoir si son approche particulière de la souveraineté, plus technique et opérationnelle que légale, convaincra les entreprises.
AWS n’a pas décidé de faire comme ses deux grands compétiteurs – Microsoft Azure et Google Cloud. Ceux-là, en sus de leurs propres offres estampillées « souveraines », ont misé sur des co-entreprises (Bleu, S3NS) afin de cibler le marché français, l’un des pays les plus stricts en la matière.
La filiale d’Amazon s’est intéressée à l’Allemagne et à ses instances fédérales. Elle y a créé une holding « détenue à 100 % par Amazon » et trois filiales locales dirigées par des citoyens européens. Stephan Hoechbauer, vice-président des ventes internationales, Allemagne et Europe centrale chez AWS, prend ainsi la direction générale d’AWS EU Sovereign Cloud. Stéphane Israël, ancien CEO d’Arianespace, sera désormais responsable de la gestion et des opérations.
L’autre promesse d’AWS était de former un comité consultatif relatif aux aspects souverains de l’offre. Il est constitué à la fois d’employés d’AWS et de membres indépendants. Stéphane Ducable (vice-président des affaires publiques EMEA), Ian McGarry (directeur d’Amazon CloudWatch) et Barbara Scarafia (vice-présidente et avocate générale associée pour l’Europe chez Amazon) siègent du côté d’AWS. Philippe Lavigne (général d’armée aérienne à la retraite, ancien chef d’état-major de l’armée de l’Air, puis commandant suprême allié pour la transformation de l’OTAN), ainsi que Sinéad McSweeney (ancienne présidente des affaires publiques chez Twitter et membre de plusieurs comités, dont celui de l’institut des affaires internationales et européennes) sont les deux membres indépendants. Tous sont des citoyens et des résidents européens, souligne le groupe.
En outre, en mars 2025, AWS et le BSI (l’homologue de l’ANSSI en Allemagne) ont signé un accord de coopération. « L’une des principales priorités sera de renforcer les normes techniques pour la séparation opérationnelle et la gestion des flux de données au sein de l’AWS European Sovereign Cloud, afin de permettre une conformité totale avec les exigences de souveraineté numérique de la BSI », expliquait AWS. Il faut dire que depuis 2024 le groupe promet d’investir plus de 7,8 milliards d’euros dans son offre d’ici à 2040, en commençant par sa ville d’accueil, Brandebourg.
EU Sovereign Cloud pourrait s’exécuter « indéfiniment » sans accès à son grand frère
Ça, c’est l’enrobage. AWS EU Sovereign Cloud doit offrir une région cloud « indépendante », opérée « exclusivement » par « des résidents européens ». L’entreprise prévoit de pousser ce cran un peu plus loin. Les offres d’emploi ouvertes par Amazon indiquent que les futurs employés devront être des citoyens européens et y résider. S’ils n’y habitent plus, le groupe entend faciliter leur « relocalisation ».
Les données et les métadonnées, la facturation (en euro), les métriques d’usage et les informations sur les rôles et les accès ne doivent pas sortir de cette région cloud installée à Brandebourg. Les zones de disponibilités ont « leur propre alimentation, réseau, équipements et dispositifs de sécurité », insiste AWS. AWS prévoit déjà d’ajouter des Local Zones « souveraines » en Belgique, aux Pays-Bas et au Portugal.
« La conception d’AWS EU Sovereign Cloud lui permet de continuer à fonctionner indéfiniment, même en cas d’interruption de la connectivité avec le reste du monde », souligne-t-il. « Indéfiniment » est en tout cas un terme inscrit à l’addendum contractuel dédié à l’offre. Un engagement fort à l’heure de l’agilité et des livraisons logicielles au compte-gouttes. Il est difficile de savoir si cette promesse peut être tenue. Et AWS a prévu de confier une réplique du code source de son infrastructure à quelques employés de confiance en cas de « circonstances exceptionnelles ».
Des fondations à renforcer
Au lancement, 92 services sont disponibles depuis eusc-de-east-1, le nom de la région de Brandebourg. EC2, S3, FSx, Lambda, Bedrock, Athena, CloudWatch, DynamoDB, RDS, EKS, AWS KMS, etc. Les principales capacités de la plateforme sont de la partie.
Néanmoins, il y a quelques particularités à prendre en compte. Si la région EU Sovereign Cloud possède son propre service Route 53, l’enregistrement des noms de domaines, autres que les Top Level Domains, passe potentiellement par la région cloud publique américaine US-EAST 1, selon la documentation.
Toutefois, la résolution DNS est localisée au sein de la région EU Sovereign Cloud, ce qui évite l’exposition technique à US-EAST 1 et indirectement aux pannes, comme celle subie en octobre dernier. Et rien ne dit qu’il soit obligatoire de passer par la région cloud américaine pour enregistrer un nom de domaine spécifique. Une entreprise pourrait très bien exploiter les services d’un fournisseur tiers de DNS.
De même, la signature DNSSEC n’est pas disponible, tout comme la plupart des fonctions d’alias ou encore le routage basé sur IP. L’ensemble de ces fonctionnalités ont été introduites en mai dans la région GovCloud américaine. AWS, lui, promet de compléter ses fonctionnalités pour qu’AWS EU Sovereign Cloud dispose d’un niveau d’indépendance technique similaire (voire supérieure) à celui des GovCloud aux États-Unis. EU Sovereign Cloud dispose déjà de sa propre autorité de certification pour les certificats SSL/TLS, sans compromis cette fois-ci.
Côté chiffrement, AWS CloudHSM, le service pour gérer ses propres clés de chiffrement n’est pas disponible. Pour l’instant, les clients doivent s’en remettre au KMS et au stockage des clés de chiffrement sur les HSM FIPS-3 de la région AEUSC. Le chiffrement externalisé, à l’aide de partenaires comme Thales, ne devrait pas tarder.
Autre particularité d’après la documentation, les enclaves Nitro, le module NitroTPM, le protocole AMD SEV SNP et Credential Guard de Microsoft ne sont pas pris en charge dans EC2. Pas d’informatique confidentielle pour le moment, donc.
En matière de gestion de données, S3 Tables, la prise en charge de vecteurs, des UDF Lambda dans RedShift et, dans l’ensemble, une bonne partie des fonctions avancées du fournisseur en la matière ne sont pas accessibles. Du côté de Bedrock, seuls Nova Pro et Lite de 2024 sont affichés sur la grille tarifaire. « Nous commençons avec Nova Pro et Nova Lite, et nous continuerons à ajouter de nouveaux modèles au fil du temps », répond un porte-parole d’AWS.
« Nous commençons par les services de base nécessaires pour prendre en charge les charges de travail et les applications critiques, puis nous continuons à élargir notre offre en fonction de la demande des clients et des partenaires », lit-on dans la FAQ qui accompagne le lancement.
Une surtaxe à prévoir
En outre, le catalogue publiquement disponible laisse apparaître un positionnement tarifaire supérieur aux régions européennes publiques. Dans la plupart des cas, AWS a simplement remplacé le symbole dollar par euro dans sa grille tarifaire. Dans d’autres, il a opéré une conversion. Les prix consultés par LeMagIT semblent impliquer une hausse de 5 à 15 %, suivant les services, par rapport à la tarification de la région publique de Francfort ou de Paris. Le diable se cache dans les détails : il faudra par exemple vérifier les coûts liés au réseau et au transfert des données. C’est en tout cas une pratique tarifaire observée chez S3NS, NumSpot ou encore OVHCloud. Le cloud souverain revêt un caractère « premium ».
Pas d’immunité extraterritoriale (même partielle)
Quant à la notion de souveraineté légale, les pincettes sont toujours de rigueur. Si AWS ne peut pas se conformer à la qualification SecNumCloud (en tout cas pas avec EU Sovereign Cloud), l’addendum contractuel dépend à la fois du droit allemand et américain. Et de rappeler que même si son personnel n’a pas accès aux données et métadonnées des clients, AWS se doit de répondre aux demandes légitimes de « toute entité gouvernementale ». Comme à son habitude, l’entité promet d’utiliser les moyens légaux, y compris les lois européennes, pour protéger les données de ses clients. Toutefois, si la requête interdit de révéler la demande à ses clients (comme c’est le cas avec le FISA Act), elle promet de ne confier que le strict minimum à l’autorité pour répondre à la requête. Comme n’importe quel client, résident européen ou non, peut souscrire à EU Sovereign Cloud, l’exposition aux droits extraterritoriaux peut être large. À voir si les garanties d’isolation logicielle, physique et opérationnelle suffisent pour certaines charges de travail. Ce sont en tout cas des critères pris en compte dans la grille de lecture du cloud souverain publié par la Commission européenne en octobre dernier.
Le fournisseur entend bien convaincre les organisations du secteur public et les entreprises hautement régulées d’adopter son offre. Trois clients – l’énergéticien EWE AG, le centre hospitalier universitaire Carl Thiem à Brandebourg, et Sanoma Learning, la branche éducation de l’éditeur de presse finlandais éponyme – ont accepté d’apparaître sur le communiqué qui accompagne ce lancement.
Accenture, adesso, Adobe, Arvato Systems, Atos, Capgemini, Deloitte, Dedalus, Genesys, Kyndril, Mistral AI, msg group, Nvidia, SAP, RackSpace ou encore SoftwareOne sont les premiers partenaires mis en avant.
Pour approfondir sur Réglementations et Souveraineté
-
![]()
Sovereign Core : IBM propose un kit pour monter son cloud souverain
Par: Gaétan Raoul
-
![]()
Red Hat présente son support « souverain » dédié à l’Union européenne
Par: Gaétan Raoul
-
![]()
Multicloud, responsabilité partagée, résilience : les leçons à retenir de la panne d’AWS
Par: Gaétan Raoul
-
![]()
Cloud souverain : Qlik temporise
Par: Gaétan Raoul
