{"id":25748,"date":"2026-06-11T05:54:39","date_gmt":"2026-06-11T05:54:39","guid":{"rendered":"https:\/\/www.cycloid.io\/?post_type=blogs&#038;p=25748"},"modified":"2026-06-17T09:03:18","modified_gmt":"2026-06-17T09:03:18","slug":"souverainete-cloud-concevoir-une-infrastructure-conforme-pour-les-charges-de-travail-reglementees-en-ue","status":"publish","type":"blogs","link":"https:\/\/www.cycloid.io\/fr\/blog\/souverainete-cloud-concevoir-une-infrastructure-conforme-pour-les-charges-de-travail-reglementees-en-ue\/","title":{"rendered":"Souverainet\u00e9 cloud : concevoir une infrastructure conforme pour les charges de travail r\u00e9glement\u00e9es en UE"},"content":{"rendered":"<h2><b>TL;DR<\/b><\/h2>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">L&rsquo;appel d&rsquo;offres de \u20ac180 millions de la Commission europ\u00e9enne d&rsquo;<\/span><a href=\"https:\/\/ec.europa.eu\/commission\/presscorner\/detail\/en\/ip_26_833\"><span style=\"font-weight: 400;\">avril 2026<\/span><\/a><span style=\"font-weight: 400;\"> sur le cloud souverain (IP\/26\/833) a codifi\u00e9 un Cloud Sovereignty Framework autour de huit dimensions techniques : souverainet\u00e9 strat\u00e9gique, juridique, op\u00e9rationnelle, environnementale, transparence de la cha\u00eene d&rsquo;approvisionnement, ouverture technologique, s\u00e9curit\u00e9 et conformit\u00e9 au droit europ\u00e9en. Chaque dimension correspond \u00e0 une d\u00e9cision concr\u00e8te d&rsquo;ing\u00e9nierie de plateforme, pas \u00e0 une case \u00e0 cocher dans un appel d&rsquo;offres.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">La r\u00e9sidence des donn\u00e9es (o\u00f9 se trouve le mat\u00e9riel) et la souverainet\u00e9 des donn\u00e9es (qui peut contraindre l&rsquo;acc\u00e8s) ne sont pas la m\u00eame chose. Une r\u00e9gion AWS \u00e0 Francfort ne vous isole pas d&rsquo;une demande au titre du CLOUD Act am\u00e9ricain. Les \u00e9quipes platform qui construisent pour des charges de travail couvertes par DORA ou NIS2 doivent concevoir autour des contr\u00f4les d&rsquo;acc\u00e8s juridictionnels, pas seulement de la g\u00e9ographie.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Gartner pr\u00e9voit que les d\u00e9penses mondiales IaaS de cloud souverain atteindront 80 milliards de dollars en 2026, soit une augmentation de 35,6 % par rapport \u00e0 2025, l&rsquo;Europe progressant de 83 % pour atteindre 12,6 milliards de dollars, avant de d\u00e9passer enti\u00e8rement l&rsquo;Am\u00e9rique du Nord en 2027 \u2014 signal de march\u00e9 indiquant que la souverainet\u00e9 est un changement structurel, pas un cycle r\u00e9glementaire.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Le plan de contr\u00f4le de l&rsquo;IDP est l&rsquo;endroit o\u00f9 la souverainet\u00e9 s&rsquo;effondre en pratique. Quand les d\u00e9veloppeurs s&rsquo;auto-servent via une plateforme SaaS dont le plan de contr\u00f4le se trouve en dehors de la juridiction europ\u00e9enne, les m\u00e9tadonn\u00e9es de provisionnement, les journaux d&rsquo;identit\u00e9 et les enregistrements d&rsquo;approbation quittent tous le p\u00e9rim\u00e8tre r\u00e9glement\u00e9, m\u00eame si l&rsquo;infrastructure d\u00e9ploy\u00e9e ne le fait pas.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Une infrastructure as code portable, GitOps-first, constitue la couverture pratique contre l&rsquo;\u00e9volution des exigences de souverainet\u00e9. Quand le CADA arrive avec de nouveaux crit\u00e8res d&rsquo;\u00e9ligibilit\u00e9, les organisations disposant d&rsquo;IaC dans des backends d&rsquo;\u00e9tat auto-contr\u00f4l\u00e9s peuvent migrer de fournisseur sans reconstruire leur pipeline de livraison.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Toutes les charges de travail d&rsquo;une organisation r\u00e9glement\u00e9e n&rsquo;ont pas besoin d&rsquo;une infrastructure souveraine. La bonne r\u00e9ponse d&rsquo;ing\u00e9nierie est une matrice de classification des charges de travail : les donn\u00e9es personnelles et les services couverts par DORA vont sur infrastructure souveraine ; les charges de travail non r\u00e9glement\u00e9es peuvent rester sur les hyperscalers, \u00e0 condition que les flux de donn\u00e9es entre environnements soient audit\u00e9s et contr\u00f4l\u00e9s au niveau de la plateforme.<\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h2><b>Ce que la souverainet\u00e9 cloud signifie pour les \u00e9quipes platform<\/b><\/h2>\n<p><span style=\"font-weight: 400;\">La souverainet\u00e9 cloud est la capacit\u00e9 \u00e0 contr\u00f4ler o\u00f9 l&rsquo;infrastructure s&rsquo;ex\u00e9cute, qui peut y acc\u00e9der, quelle juridiction l\u00e9gale la r\u00e9git et si des entit\u00e9s externes peuvent contraindre l&rsquo;acc\u00e8s aux donn\u00e9es, aux m\u00e9tadonn\u00e9es, aux cl\u00e9s de chiffrement ou aux syst\u00e8mes op\u00e9rationnels. Pour les \u00e9quipes platform, cela cesse tr\u00e8s vite d&rsquo;\u00eatre une discussion juridique. Cela devient un probl\u00e8me de conception d&rsquo;infrastructure impliquant les syst\u00e8mes d&rsquo;identit\u00e9, la gestion des cl\u00e9s, les pipelines de d\u00e9ploiement, les pistes d&rsquo;audit et les d\u00e9pendances aux fournisseurs.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Une charge de travail s&rsquo;ex\u00e9cutant dans une r\u00e9gion de Francfort n&rsquo;est pas automatiquement souveraine. Si le fournisseur cloud, l&rsquo;organisation de support, le plan de contr\u00f4le ou la hi\u00e9rarchie de chiffrement reste soumis \u00e0 une juridiction \u00e9trang\u00e8re, les r\u00e9gulateurs peuvent toujours consid\u00e9rer l&rsquo;environnement comme expos\u00e9 ext\u00e9rieurement. C&rsquo;est la distinction que beaucoup d&rsquo;\u00e9quipes ratent lors de l&rsquo;adoption initiale du cloud : la r\u00e9sidence des donn\u00e9es r\u00e9pond seulement \u00e0 la question de l&#8217;emplacement du mat\u00e9riel, tandis que la souverainet\u00e9 demande aussi qui contr\u00f4le finalement l&rsquo;acc\u00e8s \u00e0 l&rsquo;environnement et dans quel cadre juridique.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Cela est important parce que les plateformes internes de d\u00e9veloppement (IDP) modernes, les pipelines CI\/CD et les syst\u00e8mes d&rsquo;infrastructure as code (IaC) \u00e9changent continuellement des m\u00e9tadonn\u00e9es op\u00e9rationnelles en dehors de la charge de travail elle-m\u00eame. Les approbations de d\u00e9ploiement, les fichiers d&rsquo;\u00e9tat Terraform, les journaux d&rsquo;audit, les \u00e9v\u00e9nements RBAC et les pipelines GitOps traversent souvent des syst\u00e8mes exploit\u00e9s par des \u00e9diteurs SaaS tiers. Dans les secteurs r\u00e9glement\u00e9s couverts par DORA, NIS2, GDPR ou les r\u00e8gles d&rsquo;achat du secteur public, ces syst\u00e8mes op\u00e9rationnels entrent d\u00e9sormais aussi dans le p\u00e9rim\u00e8tre de conformit\u00e9.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">La conversation en termes d&rsquo;ing\u00e9nierie a chang\u00e9 significativement en avril 2026 quand la <\/span><a href=\"https:\/\/ec.europa.eu\/commission\/presscorner\/detail\/en\/ip_26_833\"><span style=\"font-weight: 400;\">Commission europ\u00e9enne a attribu\u00e9<\/span><\/a><span style=\"font-weight: 400;\"> un contrat de cloud souverain de \u20ac180 millions \u00e0 quatre fournisseurs europ\u00e9ens dans le cadre d&rsquo;un Cloud Sovereignty Framework formel. Le changement important n&rsquo;\u00e9tait pas la valeur du contrat elle-m\u00eame, mais l&rsquo;introduction de crit\u00e8res d&rsquo;\u00e9valuation techniques mesurables pour la souverainet\u00e9. Au lieu de traiter \u00ab\u00a0cloud souverain\u00a0\u00bb comme un langage marketing, le framework \u00e9valuait les fournisseurs sur l&rsquo;ind\u00e9pendance op\u00e9rationnelle, l&rsquo;exposition \u00e0 la juridiction l\u00e9gale, la transparence de la cha\u00eene d&rsquo;approvisionnement, l&rsquo;ouverture technologique, les contr\u00f4les de gestion des cl\u00e9s et la conformit\u00e9 au droit europ\u00e9en.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Pour les \u00e9quipes platform, cela transforme la souverainet\u00e9 d&rsquo;une pr\u00e9f\u00e9rence d&rsquo;achat en exigence d&rsquo;architecture syst\u00e8me. Des questions comme l&rsquo;endroit o\u00f9 est stock\u00e9 l&rsquo;\u00e9tat Terraform, qui contr\u00f4le les cl\u00e9s de chiffrement, si les journaux d&rsquo;audit restent dans la juridiction europ\u00e9enne et si les pipelines de d\u00e9ploiement d\u00e9pendent de plans de contr\u00f4le SaaS exploit\u00e9s \u00e0 l&rsquo;\u00e9tranger font d\u00e9sormais partie des revues de conception d&rsquo;infrastructure plut\u00f4t que des discussions de conformit\u00e9 post-d\u00e9ploiement.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3><b>Le Cloud Sovereignty Framework de l&rsquo;UE et ses exigences<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">Le 17 avril 2026, la Commission europ\u00e9enne<\/span><a href=\"https:\/\/ec.europa.eu\/commission\/presscorner\/detail\/en\/ip_26_833\"> <span style=\"font-weight: 400;\">a attribu\u00e9 des contrats dans le cadre d&rsquo;IP\/26\/833<\/span><\/a><span style=\"font-weight: 400;\"> \u00e0 quatre fournisseurs cloud europ\u00e9ens : Post Telecom (en partenariat avec CleverCloud et OVHcloud), STACKIT, Scaleway et Proximus (en partenariat avec S3NS, une coentreprise Thales-Google Cloud, ainsi que Clarence et Mistral). L&rsquo;appel d&rsquo;offres, lanc\u00e9 dans le cadre du Cloud III Dynamic Purchasing System en octobre 2025, permet aux institutions europ\u00e9ennes de se procurer des services cloud souverains pour un maximum de \u20ac180 millions sur six ans.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Les fournisseurs ont \u00e9t\u00e9 s\u00e9lectionn\u00e9s selon le Cloud Sovereignty Framework de la Commission, qui \u00e9value huit dimensions : la souverainet\u00e9 strat\u00e9gique (ancrage financier et juridique dans le droit europ\u00e9en), la souverainet\u00e9 juridique et juridictionnelle (protection contre l&rsquo;acc\u00e8s par des autorit\u00e9s \u00e9trang\u00e8res), la souverainet\u00e9 op\u00e9rationnelle (capacit\u00e9 \u00e0 fonctionner ind\u00e9pendamment d&rsquo;un seul fournisseur), la souverainet\u00e9 environnementale (conformit\u00e9 en mati\u00e8re de durabilit\u00e9), la transparence de la cha\u00eene d&rsquo;approvisionnement (documentation mat\u00e9rielle et logicielle), l&rsquo;ouverture technologique (utilisation de standards ouverts), la s\u00e9curit\u00e9 (respect des niveaux d&rsquo;assurance EUCS ou \u00e9quivalents) et la conformit\u00e9 au droit europ\u00e9en (aucune exposition \u00e0 une juridiction \u00e9trang\u00e8re conflictuelle).<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Deux r\u00e9sultats de l&rsquo;appel d&rsquo;offres sont particuli\u00e8rement importants pour les ing\u00e9nieurs platform. Premi\u00e8rement, la Commission a \u00e9valu\u00e9 le contr\u00f4le op\u00e9rationnel, pas les d\u00e9clarations marketing. Dans les dimensions juridique, op\u00e9rationnelle et de transparence de la cha\u00eene d&rsquo;approvisionnement, les fournisseurs devaient d\u00e9montrer comment les entit\u00e9s non europ\u00e9ennes \u00e9taient limit\u00e9es dans leur acc\u00e8s \u00e0 l&rsquo;infrastructure, aux syst\u00e8mes op\u00e9rationnels, aux hi\u00e9rarchies de chiffrement et aux environnements clients. Cela incluait l&rsquo;examen de la propri\u00e9t\u00e9 de la gestion des cl\u00e9s, des contr\u00f4les d&rsquo;acc\u00e8s du personnel, des chemins d&rsquo;escalade op\u00e9rationnelle et de la documentation des d\u00e9pendances d&rsquo;infrastructure. En pratique, la souverainet\u00e9 a \u00e9t\u00e9 trait\u00e9e comme une propri\u00e9t\u00e9 syst\u00e8me v\u00e9rifiable plut\u00f4t qu&rsquo;une d\u00e9claration contractuelle.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Deuxi\u00e8mement, l&rsquo;appel d&rsquo;offres a montr\u00e9 que la souverainet\u00e9 n&rsquo;exclut pas automatiquement les stacks technologiques non europ\u00e9ennes. Dans les dimensions de souverainet\u00e9 op\u00e9rationnelle et de conformit\u00e9 au droit europ\u00e9en, les fournisseurs pouvaient se qualifier si la fronti\u00e8re de contr\u00f4le op\u00e9rationnel restait dans la juridiction europ\u00e9enne. Proximus, par exemple, s&rsquo;est qualifi\u00e9 en partie gr\u00e2ce \u00e0 son partenariat S3NS, o\u00f9 l&rsquo;infrastructure Google Cloud fonctionne derri\u00e8re une gestion des cl\u00e9s contr\u00f4l\u00e9e par l&rsquo;UE, un personnel op\u00e9rationnel r\u00e9sidant dans l&rsquo;UE et des proc\u00e9dures d&rsquo;acc\u00e8s gouvern\u00e9es localement. Pour les \u00e9quipes platform qui ex\u00e9cutent d\u00e9j\u00e0 des charges de travail sur AWS, Azure ou GCP, cela change significativement la discussion sur la migration. Le facteur d\u00e9cisif n&rsquo;est souvent pas la technologie d&rsquo;infrastructure sous-jacente elle-m\u00eame, mais qui contr\u00f4le la couche op\u00e9rationnelle qui l&rsquo;entoure.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3><b>L&rsquo;exposition au CLOUD Act am\u00e9ricain et pourquoi la r\u00e9sidence des donn\u00e9es seule est insuffisante<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">L&rsquo;une des dimensions les plus importantes du Cloud Sovereignty Framework de l&rsquo;UE est la souverainet\u00e9 juridique et juridictionnelle : plus pr\u00e9cis\u00e9ment, si l&rsquo;infrastructure reste expos\u00e9e \u00e0 des demandes d&rsquo;acc\u00e8s de gouvernements \u00e9trangers en dehors du contr\u00f4le juridique europ\u00e9en. C&rsquo;est l\u00e0 que la discussion va au-del\u00e0 de la g\u00e9ographie des centres de donn\u00e9es et entre dans la propri\u00e9t\u00e9 du fournisseur, le contr\u00f4le op\u00e9rationnel et la juridiction applicable. Une charge de travail s&rsquo;ex\u00e9cutant enti\u00e8rement dans une r\u00e9gion europ\u00e9enne peut toujours \u00e9chouer aux exigences de souverainet\u00e9 si le fournisseur qui exploite cette infrastructure reste soumis aux lois \u00e9trang\u00e8res de divulgation.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Le probl\u00e8me juridique sp\u00e9cifique est le suivant : un fournisseur cloud constitu\u00e9 sous le droit am\u00e9ricain, quel que soit l&rsquo;endroit o\u00f9 il exploite des centres de donn\u00e9es, peut recevoir une ordonnance l\u00e9gale en vertu du Clarifying Lawful Overseas Use of Data Act (CLOUD Act) pour produire des donn\u00e9es stock\u00e9es n&rsquo;importe o\u00f9 dans le monde. Une r\u00e9gion AWS \u00e0 Francfort ne cr\u00e9e pas de juridiction europ\u00e9enne exclusive sur ces donn\u00e9es. Les hyperscalers am\u00e9ricains d\u00e9tiennent plus de 70 % du march\u00e9 cloud europ\u00e9en, et chaque organisation qui les utilise est, \u00e0 des degr\u00e9s divers, expos\u00e9e \u00e0 ce risque.<\/span><\/p>\n<p><img fetchpriority=\"high\" decoding=\"async\" class=\"alignnone wp-image-25548 size-full\" src=\"https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/cloud_sovereignty_data_residency.webp\" alt=\"\" width=\"1200\" height=\"675\" srcset=\"https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/cloud_sovereignty_data_residency.webp 1200w, https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/cloud_sovereignty_data_residency-300x169.webp 300w, https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/cloud_sovereignty_data_residency-1024x576.webp 1024w, https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/cloud_sovereignty_data_residency-768x432.webp 768w\" sizes=\"(max-width: 1200px) 100vw, 1200px\" \/><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p><span style=\"font-weight: 400;\">La distinction que les \u00e9quipes platform doivent int\u00e9grer dans leur conception est celle entre la r\u00e9sidence des donn\u00e9es (o\u00f9 se trouve le mat\u00e9riel) et la souverainet\u00e9 des donn\u00e9es (qui peut contraindre l&rsquo;acc\u00e8s, sous quelle juridiction et \u00e0 quel niveau de la stack). En pratique, cela affecte des d\u00e9cisions comme l&rsquo;endroit o\u00f9 est stock\u00e9 l&rsquo;\u00e9tat Terraform, qui contr\u00f4le les cl\u00e9s de chiffrement, si des ing\u00e9nieurs de support hors de l&rsquo;UE peuvent acc\u00e9der aux syst\u00e8mes de production, o\u00f9 les journaux d&rsquo;audit sont trait\u00e9s et si les m\u00e9tadonn\u00e9es de d\u00e9ploiement transitent par des plans de contr\u00f4le SaaS exploit\u00e9s sous une juridiction \u00e9trang\u00e8re. Une charge de travail peut s&rsquo;ex\u00e9cuter enti\u00e8rement dans une r\u00e9gion europ\u00e9enne tandis que ses journaux CI\/CD, les \u00e9v\u00e9nements de son fournisseur d&rsquo;identit\u00e9, ses workflows d&rsquo;approbation ou ses syst\u00e8mes de sauvegarde restent accessibles \u00e0 une soci\u00e9t\u00e9 m\u00e8re non europ\u00e9enne sous des lois \u00e9trang\u00e8res de divulgation. <\/span><a href=\"https:\/\/english.rekenkamer.nl\/documents\/2025\/01\/15\/dutch-central-government-in-the-cloud\"><span style=\"font-weight: 400;\">La Cour des comptes des Pays-Bas<\/span><\/a><span style=\"font-weight: 400;\"> a constat\u00e9 que 67 % de l&rsquo;infrastructure cloud du gouvernement n\u00e9erlandais est fournie par Google, Amazon et Microsoft. Une r\u00e9cente \u00e9tude<\/span><a href=\"https:\/\/www.wbn.digital\/some-german-companies-demand-cloud-independence-from-us\/\"> <span style=\"font-weight: 400;\">Bitkom<\/span><\/a><span style=\"font-weight: 400;\"> a r\u00e9v\u00e9l\u00e9 que 78 % des entreprises allemandes interrog\u00e9es estiment que l&rsquo;Allemagne est trop d\u00e9pendante des fournisseurs cloud am\u00e9ricains. Ce ne sont pas des pr\u00e9occupations abstraites \u2014 ce sont les conclusions d&rsquo;audit qui motivent les actions r\u00e9glementaires.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">DORA change la fa\u00e7on dont les organisations financi\u00e8res \u00e9valuent les d\u00e9pendances cloud. Avant DORA, beaucoup d&rsquo;\u00e9quipes traitaient le risque li\u00e9 aux hyperscalers comme une question contractuelle g\u00e9r\u00e9e via des accords avec les fournisseurs et des revues d&rsquo;achat. DORA d\u00e9place cette responsabilit\u00e9 vers la supervision op\u00e9rationnelle continue. Les institutions financi\u00e8res doivent d\u00e9sormais identifier quels fournisseurs cloud supportent les services critiques, documenter ces d\u00e9pendances, prouver qu&rsquo;elles peuvent se remettre des d\u00e9faillances des fournisseurs et d\u00e9montrer que les r\u00e9gulateurs peuvent auditer la relation d&rsquo;infrastructure sous-jacente si n\u00e9cessaire.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Pour les \u00e9quipes platform, cela cr\u00e9e des exigences d&rsquo;infrastructure directes. Les charges de travail critiques ne peuvent pas d\u00e9pendre enti\u00e8rement d&rsquo;un seul fournisseur pour le calcul, l&rsquo;identit\u00e9, la journalisation, les sauvegardes et le contr\u00f4le du d\u00e9ploiement simultan\u00e9ment. L&rsquo;\u00e9tat Terraform, les pistes d&rsquo;audit, les enregistrements d&rsquo;approbation et les pipelines de d\u00e9ploiement doivent rester tra\u00e7ables et r\u00e9cup\u00e9rables m\u00eame lors d&rsquo;une panne du fournisseur ou d&rsquo;une enqu\u00eate r\u00e9glementaire. La question n&rsquo;est plus seulement \u00ab\u00a0O\u00f9 la charge de travail s&rsquo;ex\u00e9cute-t-elle ?\u00a0\u00bb mais aussi \u00ab\u00a0Qui contr\u00f4le les syst\u00e8mes op\u00e9rationnels qui l&rsquo;entourent, et que se passe-t-il si l&rsquo;acc\u00e8s \u00e0 ce fournisseur est interrompu ?\u00a0\u00bb<\/span><\/p>\n<p><span style=\"font-weight: 400;\">NIS2 \u00e9tend des attentes similaires au-del\u00e0 de la finance \u00e0 des secteurs tels que l&rsquo;\u00e9nergie, la sant\u00e9, le transport, la fabrication, l&rsquo;administration publique et l&rsquo;infrastructure num\u00e9rique. Les organisations doivent documenter les d\u00e9pendances cloud externes, segmenter les environnements r\u00e9glement\u00e9s des non r\u00e9glement\u00e9s, maintenir des processus de signalement des incidents et prouver que les fournisseurs respectent des normes de r\u00e9silience \u00e9quivalentes. En pratique, cela pousse les \u00e9quipes platform vers la classification des charges de travail, l&rsquo;isolation des environnements bas\u00e9e sur les politiques, des pipelines GitOps auditables et un contr\u00f4le plus strict de l&rsquo;endroit o\u00f9 les m\u00e9tadonn\u00e9es op\u00e9rationnelles sont stock\u00e9es et trait\u00e9es.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h2><b>Cartographier la stack r\u00e9glementaire de souverainet\u00e9 de l&rsquo;UE vers des d\u00e9cisions d&rsquo;infrastructure<\/b><\/h2>\n<p><span style=\"font-weight: 400;\">Les r\u00e9glementations produisent des exigences, et les exigences produisent des architectures. Le probl\u00e8me est que NIS2, DORA, GDPR et le Cloud Sovereignty Framework adressent chacun des pr\u00e9occupations qui se chevauchent depuis des angles diff\u00e9rents, et les \u00e9quipes platform les rencontrent souvent lors d&rsquo;audits plut\u00f4t que lors de la conception. Les sections ci-dessous font correspondre chaque r\u00e9glementation \u00e0 la d\u00e9cision d&rsquo;infrastructure sp\u00e9cifique qu&rsquo;elle implique.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3><b>Les obligations NIS2 et ce qu&rsquo;elles signifient pour la segmentation r\u00e9seau multi-cloud<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">NIS2 exige que les entit\u00e9s moyennes et grandes dans 18 secteurs signalent les incidents dans les 24 heures suivant la d\u00e9couverte (six heures dans certains \u00c9tats membres, dont Chypre), maintiennent des mesures document\u00e9es de s\u00e9curit\u00e9 de la cha\u00eene d&rsquo;approvisionnement et d\u00e9montrent des obligations contractuelles de r\u00e9silience avec chaque d\u00e9pendance cloud externe.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Pour les \u00e9quipes platform op\u00e9rant dans des environnements multi-cloud, ces exigences affectent la fa\u00e7on dont les environnements sont s\u00e9par\u00e9s et gouvern\u00e9s en pratique. Consid\u00e9rons une organisation de sant\u00e9 qui ex\u00e9cute des syst\u00e8mes patients sur un cloud souverain europ\u00e9en tout en h\u00e9bergeant des charges de travail analytiques internes sur AWS. Dans le cadre de NIS2, ces deux environnements ne peuvent pas partager nonchalamment un r\u00e9seau, une f\u00e9d\u00e9ration IAM ou des pipelines de journalisation centralis\u00e9s si des donn\u00e9es r\u00e9glement\u00e9es pouvaient traverser vers l&rsquo;environnement non souverain lors d&rsquo;une compromission.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Un sch\u00e9ma d&rsquo;impl\u00e9mentation courant est d&rsquo;isoler les charges de travail r\u00e9glement\u00e9es dans des clusters Kubernetes s\u00e9par\u00e9s, des fournisseurs d&rsquo;identit\u00e9 s\u00e9par\u00e9s et des backends de journalisation enti\u00e8rement s\u00e9par\u00e9s. Par exemple, les API orient\u00e9es patients peuvent s&rsquo;ex\u00e9cuter dans un cluster h\u00e9berg\u00e9 dans l&rsquo;UE avec du stockage objet g\u00e9r\u00e9 dans l&rsquo;UE et de l&rsquo;observabilit\u00e9 auto-h\u00e9berg\u00e9e, tandis que les outils de d\u00e9veloppement internes continuent de tourner sur l&rsquo;infrastructure hyperscaler standard. Des network policies bloquent alors explicitement le trafic est-ouest entre les environnements r\u00e9glement\u00e9s et non r\u00e9glement\u00e9s, \u00e0 moins que le trafic ne passe par des passerelles approuv\u00e9es avec journalisation d&rsquo;audit activ\u00e9e.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p>apiVersion<\/p>\n<table style=\"background-color: #fdf6e3;\">\n<tbody>\n<tr>\n<td><span style=\"font-weight: 400; color: #b58900;\">apiVersion<\/span><span style=\"font-weight: 400;\">: networking.k8s.io\/v1<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400; color: #b58900;\">kind<\/span><span style=\"font-weight: 400;\">: NetworkPolicy<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400; color: #b58900;\">metadata<\/span><span style=\"font-weight: 400;\">:<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span> <span style=\"font-weight: 400; color: #b58900;\">name<\/span><span style=\"font-weight: 400;\">: block-non-sovereign-egress<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400; color: #b58900;\">spec<\/span><span style=\"font-weight: 400;\">:<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span> <span style=\"font-weight: 400; color: #b58900;\">podSelector<\/span><span style=\"font-weight: 400;\">: {}<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span> <span style=\"font-weight: 400; color: #b58900;\">policyTypes<\/span><span style=\"font-weight: 400;\">:<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"> &#8211; Egress<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span> <span style=\"font-weight: 400; color: #b58900;\">egress<\/span><span style=\"font-weight: 400;\">:<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"> &#8211; <\/span><span style=\"font-weight: 400; color: #b58900;\">to<\/span><span style=\"font-weight: 400;\">:<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"> &#8211; <\/span><span style=\"font-weight: 400; color: #b58900;\">namespaceSelector<\/span><span style=\"font-weight: 400;\">:<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span> <span style=\"font-weight: 400; color: #b58900;\">matchLabels<\/span><span style=\"font-weight: 400;\">:<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span> <span style=\"font-weight: 400; color: #b58900;\">environment<\/span><span style=\"font-weight: 400;\">: sovereign-eu<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p><span style=\"font-weight: 400;\">L&rsquo;exigence d&rsquo;audit est l\u00e0 o\u00f9 beaucoup d&rsquo;\u00e9quipes peinent lors de leur premi\u00e8re revue NIS2. Les r\u00e9gulateurs ne demandent pas seulement si la segmentation existe ; ils demandent des preuves montrant quand les politiques ont chang\u00e9, qui les a approuv\u00e9es et si les contr\u00f4les ont \u00e9t\u00e9 test\u00e9s. Un pipeline GitOps avec des network policies versionn\u00e9es et une validation policy-as-code produit ces preuves automatiquement. Un diagramme d&rsquo;architecture maintenu manuellement ou une page Confluence ne le fait pas.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3><b>Les exigences de risque tiers de DORA et les preuves d&rsquo;audit IaC<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">L&rsquo;Article 28 de DORA et les RTS associ\u00e9s exigent que les entit\u00e9s financi\u00e8res documentent chaque d\u00e9pendance de service ICT et d\u00e9montrent que le risque de concentration est activement g\u00e9r\u00e9. Le risque de concentration, dans le cadre de DORA, signifie que si le m\u00eame fournisseur sous-tend les sauvegardes, le calcul et la gestion des identit\u00e9s, un seul incident ou une divulgation contrainte se propage aux trois. Les \u00e9quipes platform doivent \u00eatre en mesure de montrer qu&rsquo;aucune d\u00e9faillance d&rsquo;un seul tiers ne peut faire tomber l&rsquo;ensemble de la stack technologique.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Pour l&rsquo;infrastructure sp\u00e9cifiquement, chaque ressource dans un environnement couvert par DORA doit avoir un enregistrement de d\u00e9ploiement versionn\u00e9 et tra\u00e7able par audit. Un fichier d&rsquo;\u00e9tat Terraform stock\u00e9 dans un bucket S3 contr\u00f4l\u00e9 par AWS ne satisfait pas cette exigence si AWS est une entit\u00e9 constitu\u00e9e aux \u00c9tats-Unis et que l&rsquo;\u00e9tat contient des preuves de configuration dont les r\u00e9gulateurs ont besoin. L&rsquo;\u00e9tat doit se trouver dans un backend auto-contr\u00f4l\u00e9 dans la juridiction r\u00e9glement\u00e9e, soutenu par des journaux immuables qui tracent chaque modification \u00e0 une identit\u00e9, une ex\u00e9cution de pipeline et un commit Git.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Les mod\u00e8les de d\u00e9ploiement GitOps-first \u2014 o\u00f9 chaque modification d&rsquo;infrastructure transite par un pipeline versionn\u00e9 avec un enregistrement d&rsquo;approbation \u2014 produisent exactement les preuves que les auditeurs DORA recherchent. L&rsquo;historique Git est le journal de contr\u00f4le des changements. L&rsquo;ex\u00e9cution de pipeline est l&rsquo;enregistrement de d\u00e9ploiement. L&rsquo;\u00e9tape d&rsquo;approbation est la preuve d&rsquo;autorisation. Les \u00e9quipes qui ont construit l&rsquo;infrastructure via le click-ops ou des commandes CLI non trac\u00e9es font face \u00e0 un travail de rem\u00e9diation significatif pour produire ces preuves r\u00e9troactivement.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3><b>Ce que les huit dimensions du Cloud Sovereignty Framework de l&rsquo;UE signifient pour l&rsquo;architecture de plateforme<\/b><\/h3>\n<p><img decoding=\"async\" class=\"alignnone wp-image-25551 size-full\" src=\"https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/eu_sovereign_cloud_tender.webp\" alt=\"\" width=\"1200\" height=\"675\" srcset=\"https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/eu_sovereign_cloud_tender.webp 1200w, https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/eu_sovereign_cloud_tender-300x169.webp 300w, https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/eu_sovereign_cloud_tender-1024x576.webp 1024w, https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/eu_sovereign_cloud_tender-768x432.webp 768w\" sizes=\"(max-width: 1200px) 100vw, 1200px\" \/><\/p>\n<p>&nbsp;<\/p>\n<p><span style=\"font-weight: 400;\">Le framework de la Commission offre aux ing\u00e9nieurs un moyen structur\u00e9 d&rsquo;\u00e9valuer \u00e0 la fois les fournisseurs cloud et leur propre conception de plateforme. Chaque dimension correspond \u00e0 une d\u00e9cision concr\u00e8te :<\/span><\/p>\n<ol>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">La souverainet\u00e9 strat\u00e9gique affecte la s\u00e9lection des fournisseurs au niveau de l&rsquo;environnement. Un environnement de production r\u00e9glement\u00e9 g\u00e9rant des charges de travail couvertes par DORA ou NIS2 peut n&rsquo;\u00eatre autoris\u00e9 \u00e0 se d\u00e9ployer que chez des fournisseurs l\u00e9galement domicili\u00e9s dans l&rsquo;UE, tandis que les environnements de d\u00e9veloppement \u00e0 moindre risque continuent de tourner sur des hyperscalers standard.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">La souverainet\u00e9 juridique et juridictionnelle affecte les syst\u00e8mes d&rsquo;identit\u00e9, l&rsquo;architecture de chiffrement et l&rsquo;acc\u00e8s op\u00e9rationnel. En pratique, cela signifie d\u00e9cider o\u00f9 vivent les cl\u00e9s racines du Key Management Service (KMS), si l&rsquo;\u00e9tat Terraform est chiffr\u00e9 avec des cl\u00e9s contr\u00f4l\u00e9es par l&rsquo;UE, si des ing\u00e9nieurs de support hors de l&rsquo;UE peuvent acc\u00e9der aux clusters de production et si les journaux d&rsquo;audit restent dans la juridiction europ\u00e9enne.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">La souverainet\u00e9 op\u00e9rationnelle affecte la reprise apr\u00e8s sinistre et l&rsquo;architecture de d\u00e9ploiement. Les \u00e9quipes doivent supposer un sc\u00e9nario de panne du fournisseur, de litige juridique ou de migration forc\u00e9e. Cette exigence influence la fa\u00e7on dont l&rsquo;infrastructure as code est stock\u00e9e, si les sauvegardes peuvent \u00eatre restaur\u00e9es ind\u00e9pendamment du fournisseur, si les registres de conteneurs sont mis en miroir localement et si le plan de contr\u00f4le de l&rsquo;IDP peut continuer \u00e0 fonctionner si une d\u00e9pendance SaaS tierce devient indisponible.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">La souverainet\u00e9 environnementale appara\u00eet directement dans la planification des d\u00e9ploiements et la gouvernance des co\u00fbts. Les charges de travail du secteur public exigent de plus en plus de rapporter les donn\u00e9es d&#8217;empreinte carbone par r\u00e9gion, fournisseur et d\u00e9ploiement. Cela modifie les d\u00e9cisions de s\u00e9lection d&rsquo;environnement lors du provisionnement, surtout pour les organisations soumissionnant sur des march\u00e9s publics europ\u00e9ens.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">La transparence de la cha\u00eene d&rsquo;approvisionnement affecte les pipelines CI\/CD et la gestion des artefacts. Les images de conteneurs, les modules Terraform, les paquets de syst\u00e8mes d&rsquo;exploitation et les binaires tiers doivent \u00eatre tra\u00e7ables via des Software Bills of Materials (SBOM) et des cha\u00eenes de d\u00e9pendances document\u00e9es. Les \u00e9quipes platform impl\u00e9mentent souvent cela via des registres de conteneurs sign\u00e9s, des pipelines d&rsquo;analyse d&rsquo;artefacts et une validation de provenance avant le d\u00e9ploiement.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">L&rsquo;ouverture technologique affecte la portabilit\u00e9 de l&rsquo;environnement dans le temps. Les \u00e9quipes qui d\u00e9pendent fortement de services manag\u00e9s propri\u00e9taires peuvent avoir du mal \u00e0 migrer les charges de travail plus tard si les exigences d&rsquo;\u00e9ligibilit\u00e9 \u00e0 la souverainet\u00e9 changent. C&rsquo;est pourquoi beaucoup d&rsquo;environnements r\u00e9glement\u00e9s se standardisent autour de Kubernetes, Terraform, PostgreSQL et du stockage objet compatible S3 plut\u00f4t que des abstractions propri\u00e9taires aux fournisseurs.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">La s\u00e9curit\u00e9 affecte les fronti\u00e8res de chiffrement, la conception RBAC, l&rsquo;int\u00e9gration HSM, la segmentation r\u00e9seau et l&rsquo;architecture de journalisation d&rsquo;audit. Les environnements align\u00e9s EUCS n\u00e9cessitent g\u00e9n\u00e9ralement une s\u00e9paration plus stricte entre les charges de travail r\u00e9glement\u00e9es et non r\u00e9glement\u00e9es, des workflows d&rsquo;approbation plus rigoureux et des pistes d&rsquo;audit immuables li\u00e9es \u00e0 l&rsquo;activit\u00e9 de d\u00e9ploiement.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">La conformit\u00e9 au droit europ\u00e9en affecte l&rsquo;ensemble du p\u00e9rim\u00e8tre op\u00e9rationnel entourant la charge de travail. M\u00eame si les ressources de calcul s&rsquo;ex\u00e9cutent dans l&rsquo;UE, l&rsquo;environnement peut toujours \u00e9chouer aux exigences de souverainet\u00e9 si les journaux CI\/CD, les workflows d&rsquo;approbation, les pipelines d&rsquo;observabilit\u00e9 ou les plans de contr\u00f4le SaaS restent accessibles sous une juridiction \u00e9trang\u00e8re.<\/span><\/li>\n<\/ol>\n<h2><\/h2>\n<h2><\/h2>\n<h2><b>Sch\u00e9mas d&rsquo;architecture cloud souveraine pour les \u00e9quipes platform<\/b><\/h2>\n<p><span style=\"font-weight: 400;\">La plupart des environnements conformes \u00e0 la souverainet\u00e9 suivent une architecture en couches o\u00f9 le contr\u00f4le des d\u00e9ploiements, l&rsquo;ex\u00e9cution des charges de travail, la journalisation d&rsquo;audit et les syst\u00e8mes d&rsquo;identit\u00e9 restent dans la fronti\u00e8re de la juridiction r\u00e9glement\u00e9e. Au lieu de s&rsquo;appuyer sur un seul plan de contr\u00f4le SaaS, les \u00e9quipes s\u00e9parent l&rsquo;environnement en couches d&rsquo;infrastructure contr\u00f4l\u00e9es ind\u00e9pendamment.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Une architecture de d\u00e9ploiement souveraine typique ressemble \u00e0 ceci :<\/span><\/p>\n<p>&nbsp;<\/p>\n<table style=\"background-color: #fdf6e3;\">\n<tbody>\n<tr>\n<td><span style=\"font-weight: 400;\">Developer<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"> \u2193<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\">Self-Hosted IDP (Cycloid)<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"> \u2193<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\">GitOps Pipeline +<\/span><span style=\"font-weight: 400; color: #ff0000;\"> Policy <\/span><span style=\"font-weight: 400;\">Engine<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"> \u2193<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\">Sovereign Kubernetes Cluster<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"> \u2193<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\">EU-Controlled KMS \/ HSM<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"> \u2193<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\">Internal<\/span><span style=\"font-weight: 400; color: #ff0000;\"> Logging <\/span><span style=\"font-weight: 400;\">+ Audit Storage<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p><span style=\"font-weight: 400;\">Dans ce mod\u00e8le :<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">les approbations de d\u00e9ploiement restent dans des syst\u00e8mes contr\u00f4l\u00e9s par l&rsquo;UE<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">l&rsquo;\u00e9tat Terraform demeure dans un stockage auto-h\u00e9berg\u00e9<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">l&rsquo;\u00e9valuation des politiques intervient avant le provisionnement de l&rsquo;infrastructure<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">les journaux ne quittent jamais le p\u00e9rim\u00e8tre r\u00e9glement\u00e9<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">les charges de travail r\u00e9glement\u00e9es et non r\u00e9glement\u00e9es s&rsquo;ex\u00e9cutent dans des environnements isol\u00e9s<\/span><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">Les sections ci-dessous expliquent comment les \u00e9quipes impl\u00e9mentent ces fronti\u00e8res d&rsquo;isolation en pratique.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3><b>Exemple : environnements souverains air-gapp\u00e9s et \u00e0 acc\u00e8s restreint<\/b><\/h3>\n<p>&nbsp;<\/p>\n<table style=\"background-color: #fdf6e3;\">\n<tbody>\n<tr>\n<td><span style=\"font-weight: 400;\"># sovereign-cluster-policy.yaml<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400; color: #b58900;\">network:<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"> <span style=\"color: #b58900;\">inboundInternetAccess:<\/span><\/span> <span style=\"font-weight: 400; color: #2aa198;\">false<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"color: #b58900;\"><span style=\"font-weight: 400;\">egress:<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"> allowedEndpoints:<\/span><\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"> <span style=\"color: #ff0000;\">&#8211;<\/span><\/span> <span style=\"font-weight: 400; color: #2aa198;\">artifacts.eu.internal<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"> <span style=\"color: #ff0000;\">&#8211;<\/span><\/span> <span style=\"font-weight: 400; color: #2aa198;\">registry.eu.internal<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"color: #b58900;\"><span style=\"font-weight: 400;\">identity:<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"> provider:<\/span><\/span> <span style=\"font-weight: 400; color: #2aa198;\">keycloak.internal.eu<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"color: #b58900;\"><span style=\"font-weight: 400;\">terraform:<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"> stateBackend:<\/span><\/span> <span style=\"font-weight: 400; color: #2aa198;\">s3.eu.internal<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"color: #b58900;\"><span style=\"font-weight: 400;\">logging:<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"> destination:<\/span><\/span> <span style=\"font-weight: 400; color: #2aa198;\">loki.eu.sovereign.internal<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p><span style=\"font-weight: 400;\">Un environnement souverain air-gapp\u00e9 ou \u00e0 acc\u00e8s restreint supprime g\u00e9n\u00e9ralement enti\u00e8rement l&rsquo;acc\u00e8s direct \u00e0 Internet des syst\u00e8mes de production. Au lieu de t\u00e9l\u00e9charger des providers Terraform, des images de conteneurs ou des paquets OS depuis des registres publics lors du d\u00e9ploiement, chaque d\u00e9pendance est mise en miroir en interne et revue avant de devenir disponible dans l&rsquo;environnement r\u00e9glement\u00e9.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">L&rsquo;air-gap total est la bonne architecture pour un ensemble \u00e9troit de cas d&rsquo;usage : les charges de travail gouvernementales classifi\u00e9es, les syst\u00e8mes de d\u00e9fense traitant des donn\u00e9es de s\u00e9curit\u00e9 nationale et les chambres de compensation financi\u00e8res sp\u00e9cifiques op\u00e9rant sous les classifications de s\u00e9curit\u00e9 les plus \u00e9lev\u00e9es. Pour la plupart des organisations couvertes par NIS2 ou DORA, l&rsquo;air-gap complet est op\u00e9rationnellement inutile et comporte un co\u00fbt de maintenance qui devient rapidement prohibitif.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Ce qu&rsquo;implique r\u00e9ellement l&rsquo;air-gapping \u2014 au-del\u00e0 de la d\u00e9connexion d&rsquo;Internet \u2014 est : des miroirs locaux de paquets pour chaque \u00e9cosyst\u00e8me OS, conteneur et langage utilis\u00e9 ; des autorit\u00e9s de certification internes rempla\u00e7ant les CA publiques ; des registres de conteneurs air-gapp\u00e9s avec un processus document\u00e9 pour int\u00e9grer de nouvelles images apr\u00e8s revue de s\u00e9curit\u00e9 ; et des pipelines de mise \u00e0 jour qui puisent depuis des miroirs internes sans atteindre des endpoints externes. Chaque mise \u00e0 jour de d\u00e9pendance est une op\u00e9ration manuelle. Les correctifs de s\u00e9curit\u00e9 qui prennent des heures dans un environnement connect\u00e9 peuvent prendre des jours dans un environnement air-gapp\u00e9, ce qui cr\u00e9e son propre risque de s\u00e9curit\u00e9.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Le juste milieu qui satisfait la plupart des exigences NIS2 et DORA pour les charges de travail non classifi\u00e9es est le d\u00e9ploiement \u00e0 r\u00e9seau restreint : pas d&rsquo;acc\u00e8s Internet entrant, sortant contr\u00f4l\u00e9 et journalis\u00e9 vers un petit ensemble d&rsquo;endpoints approuv\u00e9s, providers Terraform et images de conteneurs servis depuis des miroirs internes, et gestion des cl\u00e9s appuy\u00e9e sur des syst\u00e8mes internes ou HSM.<\/span><a href=\"https:\/\/www.cycloid.io\/blog\/frequently-asked-questions-about-cycloid-internal-developer-portal-and-platform\/\"> <span style=\"font-weight: 400;\">La plateforme Dedicated de Cycloid<\/span><\/a><span style=\"font-weight: 400;\"> se d\u00e9ploie enti\u00e8rement dans l&rsquo;infrastructure client, air-gapp\u00e9e ou isol\u00e9e, avec le plan de contr\u00f4le, le plan de donn\u00e9es et les journaux d&rsquo;audit restant tous dans le p\u00e9rim\u00e8tre r\u00e9glement\u00e9.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3><b>Les plateformes internes de d\u00e9veloppement auto-h\u00e9berg\u00e9es comme couche de gouvernance<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">L&rsquo;IDP est l&rsquo;endroit o\u00f9 les contr\u00f4les de souverainet\u00e9 deviennent op\u00e9rationnels, et c&rsquo;est aussi l\u00e0 o\u00f9 ils \u00e9chouent le plus souvent. Un d\u00e9veloppeur qui provisionne de l&rsquo;infrastructure via un portail libre-service interagit avec un plan de contr\u00f4le. Si ce plan de contr\u00f4le est une plateforme SaaS h\u00e9berg\u00e9e en dehors de la juridiction europ\u00e9enne, alors les instructions de provisionnement, les donn\u00e9es d&rsquo;identit\u00e9 des utilisateurs, les enregistrements d&rsquo;approbation et les journaux d&rsquo;audit quittent tous l&rsquo;environnement r\u00e9glement\u00e9, m\u00eame si l&rsquo;infrastructure elle-m\u00eame se d\u00e9ploie dans un centre de donn\u00e9es de Francfort.<\/span><\/p>\n<p>&nbsp;<\/p>\n<table style=\"background-color: #fdf6e3;\">\n<tbody>\n<tr>\n<td><span style=\"font-weight: 400;\">Developer Request<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"> \u2193<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\">StackForm Submission<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"> \u2193<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\">Infrapolicy Validation<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"> \u2193<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\">Approval Workflow<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"> \u2193<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\">GitOps Pipeline<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"> \u2193<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\">Sovereign Cluster Deployment<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"> \u2193<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\">Immutable Audit <\/span><span style=\"font-weight: 400; color: #99cc00;\">Record<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p><span style=\"font-weight: 400;\">En pratique, cela signifie qu&rsquo;un d\u00e9veloppeur n&rsquo;acc\u00e8de jamais directement aux credentials de l&rsquo;infrastructure souveraine. La plateforme valide la demande, v\u00e9rifie les politiques de juridiction, enregistre la cha\u00eene d&rsquo;approbation et ex\u00e9cute le d\u00e9ploiement via un pipeline contr\u00f4l\u00e9 dont les journaux restent dans l&rsquo;environnement r\u00e9glement\u00e9.<\/span><\/p>\n<p><img decoding=\"async\" class=\"alignnone wp-image-25554 size-full\" src=\"https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/hidden_compliance_failure.webp\" alt=\"\" width=\"1200\" height=\"675\" srcset=\"https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/hidden_compliance_failure.webp 1200w, https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/hidden_compliance_failure-300x169.webp 300w, https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/hidden_compliance_failure-1024x576.webp 1024w, https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/hidden_compliance_failure-768x432.webp 768w\" sizes=\"(max-width: 1200px) 100vw, 1200px\" \/><\/p>\n<p>&nbsp;<\/p>\n<p><span style=\"font-weight: 400;\">Auto-h\u00e9berger l&rsquo;IDP signifie ex\u00e9cuter le plan de contr\u00f4le et le plan de donn\u00e9es de la plateforme dans la juridiction r\u00e9glement\u00e9e. Rien dans le workflow de provisionnement ne devrait cr\u00e9er de sortie de m\u00e9tadonn\u00e9es, d&rsquo;activit\u00e9 utilisateur ou de donn\u00e9es de configuration vers des syst\u00e8mes externes. En pratique, cela inclut : les stacks du catalogue de services et leurs templates de configuration, le moteur de pipeline qui ex\u00e9cute les d\u00e9ploiements, l&rsquo;int\u00e9gration du fournisseur d&rsquo;identit\u00e9, les enregistrements du workflow d&rsquo;approbation et l&rsquo;inventaire d&rsquo;actifs qui suit ce qui s&rsquo;ex\u00e9cute o\u00f9.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Le RBAC est ici autant une question d&rsquo;audit qu&rsquo;une question de contr\u00f4le d&rsquo;acc\u00e8s. Chaque d\u00e9ploiement doit \u00eatre attribuable \u00e0 une identit\u00e9, et chaque approbation doit produire un enregistrement qui survit \u00e0 une demande r\u00e9glementaire. Si l&rsquo;enregistrement d&rsquo;approbation se trouve dans le syst\u00e8me d&rsquo;un \u00e9diteur SaaS hors de la juridiction europ\u00e9enne, il peut ne pas \u00eatre produisible en vertu du droit europ\u00e9en.<\/span><a href=\"https:\/\/www.cycloid.io\/fr\/page\/developer-experience-definition-metriques-et-comment-lameliorer-cycloid\/\"> <span style=\"font-weight: 400;\">Le mod\u00e8le RBAC multi-organisation de Cycloid<\/span><\/a><span style=\"font-weight: 400;\">, les InfraPolicies et le versionnement des Stacks appliquent des fronti\u00e8res de d\u00e9ploiement avec des pistes d&rsquo;audit stock\u00e9es dans le d\u00e9p\u00f4t Git propre au client \u2014 versionn\u00e9es, immuables et opposables en vertu du droit europ\u00e9en.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3><b>Policy-as-code pour les garde-fous des charges de travail transfrontali\u00e8res<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">Quand les \u00e9quipes ex\u00e9cutent simultan\u00e9ment des charges de travail r\u00e9glement\u00e9es et non r\u00e9glement\u00e9es \u2014 ce qui est l&rsquo;\u00e9tat courant pendant une migration vers la souverainet\u00e9 \u2014, la plateforme doit appliquer les r\u00e8gles de placement sans que chaque d\u00e9veloppeur ait besoin de savoir quels services sont couverts par DORA ou par NIS2.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Le policy-as-code, utilisant Open Policy Agent, Sentinel ou les InfraPolicies natives de la plateforme, encode les r\u00e8gles de juridiction sous forme de contraintes lisibles par machine : bloquer le d\u00e9ploiement de stacks contenant des donn\u00e9es personnelles vers des comptes de fournisseurs non europ\u00e9ens ; exiger la s\u00e9lection dans une liste de fournisseurs souverains approuv\u00e9s pour les services tagu\u00e9s comme couverts par DORA ; signaler toute stack routant des m\u00e9triques ou journaux vers des endpoints hors de la r\u00e9gion d\u00e9sign\u00e9e. La politique s&rsquo;ex\u00e9cute lors de la soumission du StackForm, avant l&rsquo;application des plans Terraform ou des manifests Kubernetes. Un d\u00e9ploiement ciblant un fournisseur non approuv\u00e9 \u00e9choue imm\u00e9diatement, emp\u00eachant les charges de travail r\u00e9glement\u00e9es d&rsquo;atteindre accidentellement une infrastructure non souveraine.<\/span><\/p>\n<p>&nbsp;<\/p>\n<table style=\"background-color: #fdf6e3;\">\n<tbody>\n<tr>\n<td><span style=\"font-weight: 400;\">package sovereignty<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\">deny[msg] {<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span> <span style=\"font-weight: 400; color: #99cc00;\">input<\/span><span style=\"font-weight: 400; color: #3366ff;\">.data_classification<\/span><span style=\"font-weight: 400;\"> == <\/span><span style=\"font-weight: 400; color: #33cccc;\">\u00ab\u00a0regulated\u00a0\u00bb<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span> <span style=\"font-weight: 400; color: #99cc00;\">input<\/span><span style=\"font-weight: 400; color: #3366ff;\">.target_provider<\/span><span style=\"font-weight: 400;\"> == <\/span><span style=\"font-weight: 400; color: #33cccc;\">\u00ab\u00a0aws-us\u00a0\u00bb<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"> msg := <\/span><span style=\"font-weight: 400; color: #33cccc;\">\u00ab\u00a0Regulated workloads cannot deploy outside approved EU providers\u00a0\u00bb<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\">}<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p><span style=\"font-weight: 400;\">Le mode de d\u00e9faillance de l&rsquo;enforcement bas\u00e9 uniquement sur la revue humaine est pr\u00e9visible. Un d\u00e9veloppeur qui cr\u00e9e un nouveau microservice ne sait pas s&rsquo;il traite des donn\u00e9es personnelles au moment de s\u00e9lectionner une cible de d\u00e9ploiement. Au moment o\u00f9 le service est en production, la violation a d\u00e9j\u00e0 eu lieu. Le policy-as-code d\u00e9tecte la violation au niveau du StackForm, avant le d\u00e9ploiement, quand la corriger ne co\u00fbte rien.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h2><b>S\u00e9lection d&rsquo;un fournisseur cloud souverain : crit\u00e8res techniques au-del\u00e0 des d\u00e9clarations marketing<\/b><\/h2>\n<p><span style=\"font-weight: 400;\">Chaque grand fournisseur cloud a d\u00e9sormais un discours sur la souverainet\u00e9. \u00c9valuer ces discours n\u00e9cessite de poser des questions techniques sp\u00e9cifiques, pas de lire des pages marketing. L&rsquo;appel d&rsquo;offres de la Commission d&rsquo;avril 2026 fournit un mod\u00e8le utile : il exigeait des preuves d&rsquo;assurance, pas des assertions.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3><b>Comment l&rsquo;\u00e9valuation en huit dimensions de la Commission fonctionne en pratique<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">Les fournisseurs dans l&rsquo;appel d&rsquo;offres d&rsquo;avril 2026 devaient documenter leur cha\u00eene d&rsquo;approvisionnement, d\u00e9montrer l&rsquo;architecture de gestion des cl\u00e9s, pr\u00e9ciser quels membres du personnel ont acc\u00e8s aux donn\u00e9es clients et dans quel cadre juridique, et fournir une documentation sur la sortie et la portabilit\u00e9. L&rsquo;exigence de niveau d&rsquo;assurance \u2014 que les tiers non europ\u00e9ens ont un contr\u00f4le limit\u00e9 \u2014 n&rsquo;est pas satisfaite par un seul engagement contractuel. Elle exige une architecture technique o\u00f9 les entit\u00e9s r\u00e9sidant dans l&rsquo;UE d\u00e9tiennent les cl\u00e9s racines, o\u00f9 l&rsquo;acc\u00e8s du helpdesk et des SRE n\u00e9cessite une autorisation bas\u00e9e dans l&rsquo;UE et o\u00f9 le fournisseur peut d\u00e9montrer une continuit\u00e9 op\u00e9rationnelle sans la soci\u00e9t\u00e9 m\u00e8re non europ\u00e9enne.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">La s\u00e9lection de Proximus illustre la fronti\u00e8re. Proximus s&rsquo;associe \u00e0 S3NS, une coentreprise de Thales (fran\u00e7ais) et Google Cloud (am\u00e9ricain). Google Cloud fournit la technologie d&rsquo;infrastructure sous-jacente ; Thales d\u00e9tient les cl\u00e9s de chiffrement et contr\u00f4le l&rsquo;acc\u00e8s op\u00e9rationnel. Le r\u00e9sultat satisfait le cadre de la Commission parce que l&rsquo;entit\u00e9 europ\u00e9enne \u2014 pas Google \u2014 contr\u00f4le les m\u00e9canismes par lesquels les donn\u00e9es pourraient \u00eatre acc\u00e9d\u00e9es. Pour les ing\u00e9nieurs platform qui \u00e9valuent des fournisseurs, les bonnes questions sont : qui d\u00e9tient les cl\u00e9s racines et sous quelle entit\u00e9 juridique ; o\u00f9 se trouvent les SRE et le personnel de support et quelle autorisation n\u00e9cessitent-ils pour acc\u00e9der aux donn\u00e9es clients ; quelles sont les proc\u00e9dures de sortie document\u00e9es et quels formats le fournisseur supporte-t-il pour l&rsquo;export des donn\u00e9es et configurations ?<\/span><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3><b>Clouds souverains construits sur infrastructure europ\u00e9enne : STACKIT, Scaleway, Outscale et IONOS<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">Les quatre fournisseurs s\u00e9lectionn\u00e9s dans l&rsquo;appel d&rsquo;offres de la Commission repr\u00e9sentent diff\u00e9rents points sur le spectre de la souverainet\u00e9.<\/span><\/p>\n<ol>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">STACKIT, la division cloud du Groupe Schwarz (qui exploite Lidl), est bas\u00e9 en Allemagne avec une infrastructure exclusivement europ\u00e9enne, sans soci\u00e9t\u00e9 m\u00e8re am\u00e9ricaine, et une certification ISO 27001. Le Groupe Schwarz s&rsquo;est engag\u00e9 \u00e0 investir \u20ac11 milliards dans une infrastructure de centres de donn\u00e9es souverains pour STACKIT, dont un nouveau site majeur \u00e0 L\u00fcbbenau, Brandebourg. Le catalogue de services est plus \u00e9troit qu&rsquo;AWS ou Azure, mais les garanties juridictionnelles sont plus claires car il n&rsquo;y a pas de soci\u00e9t\u00e9 m\u00e8re \u00e9trang\u00e8re pour compliquer l&rsquo;analyse CLOUD Act.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Scaleway, membre du groupe Iliad fran\u00e7ais, est con\u00e7u explicitement comme une alternative europ\u00e9enne aux hyperscalers. Les centres de donn\u00e9es op\u00e8rent \u00e0 Paris, Amsterdam et Varsovie. La tarification est en euros. Le fournisseur participe \u00e0 GAIA-X et d\u00e9tient la qualification SecNumCloud pour certains niveaux de service.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Outscale, filiale de Dassault Syst\u00e8mes, op\u00e8re sous certification fran\u00e7aise SecNumCloud \u2014 la plus haute qualification nationale fran\u00e7aise en cybers\u00e9curit\u00e9. La certification SecNumCloud inclut des exigences sp\u00e9cifiques sur les contr\u00f4les d&rsquo;acc\u00e8s, la gestion des cl\u00e9s et l&rsquo;habilitation de s\u00e9curit\u00e9 du personnel, en faisant l&rsquo;une des certifications de souverainet\u00e9 les plus rigoureuses disponibles en Europe.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">IONOS, bas\u00e9 en Allemagne, offre une architecture nativement GDPR et documente explicitement sa non-exposition au CLOUD Act am\u00e9ricain compte tenu de sa structure d&rsquo;entreprise europ\u00e9enne.<\/span><\/li>\n<\/ol>\n<p><span style=\"font-weight: 400;\">Le compromis est coh\u00e9rent pour les quatre : des garanties juridictionnelles plus fortes s&rsquo;accompagnent de catalogues de services manag\u00e9s plus \u00e9troits, de moins de zones de disponibilit\u00e9 et de services de plateforme moins matures compar\u00e9s \u00e0 AWS, Azure ou GCP. La d\u00e9cision d&rsquo;ing\u00e9nierie est de savoir si l&rsquo;exigence de souverainet\u00e9 s&rsquo;applique \u00e0 toutes les charges de travail ou seulement aux charges r\u00e9glement\u00e9es \u2014 ce qui m\u00e8ne directement \u00e0 la classification des charges de travail.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3><b>\u00c9valuer le risque de sortie et la portabilit\u00e9 en cas d&rsquo;\u00e9volution des exigences de souverainet\u00e9<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">Les exigences de souverainet\u00e9 se renforcent, elles ne se stabilisent pas. Le CADA \u00e0 venir pourrait introduire des crit\u00e8res d&rsquo;\u00e9ligibilit\u00e9 n\u00e9cessitant de r\u00e9-architecturer les charges de travail sur des fournisseurs qui ne se qualifient pas. Les \u00e9quipes qui n&rsquo;ont pas con\u00e7u pour la portabilit\u00e9 feront face \u00e0 cela sous contrainte de d\u00e9lai.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">\u00c9valuer le risque de sortie signifie se demander : le fournisseur utilise-t-il des formats et standards ouverts \u2014 Kubernetes, Terraform, les APIs OpenStack, le stockage objet compatible S3 \u2014 ou des interfaces propri\u00e9taires cr\u00e9ant du lock-in ? L&rsquo;IaC qui provisionne l&rsquo;environnement produit-il un \u00e9tat portable, ou un \u00e9tat qui ne se r\u00e9sout que contre le backend de ce fournisseur ? Le fournisseur fournit-il des proc\u00e9dures document\u00e9es d&rsquo;export de donn\u00e9es fonctionnant \u00e0 l&rsquo;\u00e9chelle ?<\/span><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-25557 size-full\" src=\"https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/infraimport_filters.webp\" alt=\"\" width=\"1999\" height=\"939\" srcset=\"https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/infraimport_filters.webp 1999w, https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/infraimport_filters-300x141.webp 300w, https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/infraimport_filters-1024x481.webp 1024w, https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/infraimport_filters-768x361.webp 768w, https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/infraimport_filters-1536x722.webp 1536w\" sizes=\"(max-width: 1999px) 100vw, 1999px\" \/><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-25560 size-full\" src=\"https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/infraimport_progress.webp\" alt=\"\" width=\"1999\" height=\"955\" srcset=\"https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/infraimport_progress.webp 1999w, https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/infraimport_progress-300x143.webp 300w, https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/infraimport_progress-1024x489.webp 1024w, https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/infraimport_progress-768x367.webp 768w, https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/infraimport_progress-1536x734.webp 1536w\" sizes=\"(max-width: 1999px) 100vw, 1999px\" \/><\/p>\n<p>&nbsp;<\/p>\n<p><span style=\"font-weight: 400;\">Avec Cycloid Infra Import, vous pouvez reprendre le contr\u00f4le de votre infrastructure existante.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">L&rsquo;infrastructure as code, versionn\u00e9e dans Git avec des backends d&rsquo;\u00e9tat auto-contr\u00f4l\u00e9s, est la r\u00e9ponse pratique aux trois questions. Quand le fournisseur change, la d\u00e9finition d&rsquo;infrastructure suit l&rsquo;organisation. <\/span><a href=\"https:\/\/www.cycloid.io\/fr\/page\/infra-import-modernisez-votre-infrastructure\/infraimport-2\/#main#main\"><span style=\"font-weight: 400;\">La capacit\u00e9 Infra Import de Cycloid<\/span><\/a><span style=\"font-weight: 400;\">, adoss\u00e9e \u00e0 l&rsquo;outil open-source TerraCognita, lit les ressources existantes depuis AWS, Azure, GCP et VMware et g\u00e9n\u00e8re des fichiers de configuration Terraform. Pour les organisations dont l&rsquo;infrastructure existe dans un hyperscaler sans IaC versionn\u00e9, c&rsquo;est le point de d\u00e9part de toute migration vers la souverainet\u00e9 \u2014 car les \u00e9quipes ne peuvent pas planifier ce qu&rsquo;elles n&rsquo;ont pas inventori\u00e9.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h2><b>Architecture de gouvernance et d&rsquo;audit pour les \u00e9quipes platform conformes \u00e0 la souverainet\u00e9<\/b><\/h2>\n<p><span style=\"font-weight: 400;\">La souverainet\u00e9 n&rsquo;est pas maintenue par l&rsquo;architecture seule. Les auditeurs, les r\u00e9gulateurs et les organismes de certification ont besoin de preuves \u2014 des enregistrements structur\u00e9s, dat\u00e9s et attribuables qui prouvent que les contr\u00f4les ont fonctionn\u00e9 comme pr\u00e9vu. Int\u00e9grer la piste d&rsquo;audit dans l&rsquo;architecture de plateforme d\u00e8s le d\u00e9part co\u00fbte bien moins que de la reconstituer apr\u00e8s une demande d&rsquo;audit.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3><b>Structurer les pistes d&rsquo;audit satisfaisant NIS2, DORA et les audits de certification internes<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">Les auditeurs NIS2 et DORA ne cherchent pas des journaux ; ils cherchent des preuves de contr\u00f4le des changements. Chaque d\u00e9ploiement d&rsquo;infrastructure doit \u00eatre tra\u00e7able via : un commit Git qui enregistre ce qui a chang\u00e9 et qui l&rsquo;a autoris\u00e9 ; une ex\u00e9cution de pipeline qui enregistre quand le changement a \u00e9t\u00e9 appliqu\u00e9 et s&rsquo;il a r\u00e9ussi ; un enregistrement d&rsquo;identit\u00e9 qui confirme quel utilisateur autoris\u00e9 a d\u00e9clench\u00e9 le pipeline ; un enregistrement d&rsquo;approbation si l&rsquo;environnement l&rsquo;exige ; et un enregistrement de r\u00e9sultat montrant l&rsquo;\u00e9tat post-d\u00e9ploiement.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Le mode de d\u00e9faillance sp\u00e9cifique des IDPs uniquement SaaS est que les enregistrements d&rsquo;approbation, les journaux de pipeline et les pistes d&rsquo;audit vivent dans le syst\u00e8me du fournisseur. Si le fournisseur est en dehors de la juridiction europ\u00e9enne, produire ces enregistrements lors d&rsquo;une enqu\u00eate r\u00e9glementaire peut n\u00e9cessiter une proc\u00e9dure juridique qui prend des semaines et peut ne pas produire des enregistrements complets. Un IDP auto-h\u00e9berg\u00e9 et soutenu par Git stocke chaque enregistrement dans l&rsquo;environnement r\u00e9glement\u00e9, sous les contr\u00f4les d&rsquo;acc\u00e8s propres \u00e0 l&rsquo;organisation, opposables en vertu du droit europ\u00e9en.<\/span><\/p>\n<p><a href=\"https:\/\/www.cycloid.io\/blog\/frequently-asked-questions-about-cycloid-internal-developer-portal-and-platform\/\"><span style=\"font-weight: 400;\">Cycloid conserve des pistes d&rsquo;audit d\u00e9taill\u00e9es pour toutes les actions et modifications de la plateforme<\/span><\/a><span style=\"font-weight: 400;\">, avec tous les enregistrements stockables dans l&rsquo;infrastructure propre au client lorsqu&rsquo;il est d\u00e9ploy\u00e9 en mode d\u00e9di\u00e9 ou auto-h\u00e9berg\u00e9. Chaque d\u00e9ploiement de stack, chaque approbation et chaque modification de configuration produit un enregistrement immuable dans le d\u00e9p\u00f4t Git du client \u2014 dans le format que les auditeurs peuvent lire et que les proc\u00e9dures l\u00e9gales peuvent contraindre depuis les syst\u00e8mes propres de l&rsquo;organisation, pas ceux d&rsquo;un tiers.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3><b>Conception RBAC pour les environnements souverains multi-tenants<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">Les prestataires de services manag\u00e9s, les centres de services partag\u00e9s et les grandes entreprises ex\u00e9cutant \u00e0 la fois des charges de travail r\u00e9glement\u00e9es et non r\u00e9glement\u00e9es partagent un probl\u00e8me RBAC commun : les fronti\u00e8res de souverainet\u00e9 doivent \u00eatre appliqu\u00e9es au niveau de la plateforme sans que chaque op\u00e9rateur ait besoin de v\u00e9rifier manuellement quel environnement chaque d\u00e9veloppeur est autoris\u00e9 \u00e0 atteindre.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">L&rsquo;exigence de conception est la multi-location avec une isolation stricte entre les domaines d&rsquo;autorisation. Les organisations, \u00e9quipes, environnements et stacks doivent \u00eatre des p\u00e9rim\u00e8tres d&rsquo;autorisation s\u00e9par\u00e9s pour qu&rsquo;un d\u00e9veloppeur autoris\u00e9 pour l&rsquo;environnement non r\u00e9glement\u00e9 ne puisse pas, par mauvaise configuration ou accident, d\u00e9ployer dans un environnement r\u00e9glement\u00e9. Le RTS de DORA ajoute la dimension de risque de concentration : une d\u00e9faillance ou une violation dans l&rsquo;environnement d&rsquo;un tenant ne doit pas affecter celui d&rsquo;un autre \u2014 ce qui n\u00e9cessite une isolation r\u00e9seau, des p\u00e9rim\u00e8tres d&rsquo;identit\u00e9 s\u00e9par\u00e9s et des contextes de pipeline s\u00e9par\u00e9s.<\/span><\/p>\n<p><a href=\"https:\/\/www.cycloid.io\/fr\/page\/developer-experience-definition-metriques-et-comment-lameliorer-cycloid\/\"><span style=\"font-weight: 400;\">Le mod\u00e8le RBAC multi-organisation de Cycloid<\/span><\/a><span style=\"font-weight: 400;\"> applique ces fronti\u00e8res via les InfraPolicies et le versionnement des Stacks. Les \u00e9quipes platform d\u00e9finissent quelles stacks sont disponibles pour quelles organisations, quels environnements n\u00e9cessitent des workflows d&rsquo;approbation et quels fournisseurs sont \u00e9ligibles pour chaque p\u00e9rim\u00e8tre r\u00e9glementaire. Les MSPs utilisant Cycloid peuvent g\u00e9rer plusieurs environnements clients avec une isolation forte, des pistes d&rsquo;audit s\u00e9par\u00e9es par tenant et un RBAC qui emp\u00eache tout op\u00e9rateur de traverser les fronti\u00e8res de tenant sans autorisation explicite.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3><b>Gouvernance carbone et des co\u00fbts dans le cadre de la souverainet\u00e9<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">La souverainet\u00e9 environnementale est l&rsquo;une des huit dimensions d&rsquo;\u00e9valuation de la Commission, et pour les march\u00e9s publics du secteur public dans l&rsquo;UE, elle fonctionne comme un crit\u00e8re de notation. Les \u00e9quipes qui construisent pour des contrats publics ont besoin de donn\u00e9es d&#8217;empreinte carbone par d\u00e9ploiement en parall\u00e8le des donn\u00e9es de co\u00fbt, visibles avant le d\u00e9ploiement \u2014 pas rapport\u00e9es r\u00e9trospectivement.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">L&rsquo;estimation des co\u00fbts et du carbone avant d\u00e9ploiement, expos\u00e9e au niveau du libre-service, change le point de d\u00e9cision. Un d\u00e9veloppeur choisissant entre deux options de d\u00e9ploiement qui peut voir que l&rsquo;option A co\u00fbte \u20ac200\/mois et produit 12 kg CO\u2082e tandis que l&rsquo;option B co\u00fbte \u20ac180\/mois et produit 8 kg CO\u2082e prend une meilleure d\u00e9cision que celui qui ne voit ni l&rsquo;un ni l&rsquo;autre chiffre. Escalader chaque d\u00e9cision de dimensionnement d&rsquo;environnement \u00e0 une \u00e9quipe platform pour v\u00e9rifier la conformit\u00e9 n&rsquo;est pas extensible ; exposer les donn\u00e9es au niveau du StackForm place la d\u00e9cision l\u00e0 o\u00f9 le choix est fait.<\/span><\/p>\n<p><a href=\"https:\/\/www.cycloid.io\/fr\/solutions\/cycloid-pour-les-gestions-finops-et-greenops\/\"><span style=\"font-weight: 400;\">Les modules FinOps et GreenOps de Cycloid<\/span><\/a><span style=\"font-weight: 400;\"> exposent les donn\u00e9es de co\u00fbt et de carbone par projet, r\u00e9gion, fournisseur et tag, filtrables en temps r\u00e9el. L&rsquo;estimation des co\u00fbts s&rsquo;ex\u00e9cute avant le d\u00e9ploiement, au niveau du StackForm, donnant aux d\u00e9veloppeurs les chiffres avant qu&rsquo;ils ne s&rsquo;engagent. Pour les organisations qui soumissionnent sur des march\u00e9s publics not\u00e9s selon la dimension de souverainet\u00e9 environnementale de la Commission, ces donn\u00e9es constituent des preuves d&rsquo;audit pr\u00eates \u00e0 l&#8217;emploi d&rsquo;un comportement d&rsquo;achat conforme au niveau de l&rsquo;infrastructure.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h2><b>Chemins de migration depuis une architecture d\u00e9pendante des hyperscalers vers une architecture conforme \u00e0 la souverainet\u00e9<\/b><\/h2>\n<p><span style=\"font-weight: 400;\">La migration vers la souverainet\u00e9 est un programme d&rsquo;ing\u00e9nierie pluriannuel dans la plupart des organisations \u2014 pas un \u00e9v\u00e9nement de bascule. Le chemin pratique commence par la classification, progresse via la g\u00e9n\u00e9ration d&rsquo;IaC et aboutit dans un pipeline de livraison abstrait du fournisseur qui peut s&rsquo;adapter \u00e0 des cibles souveraines sans reconstruire de z\u00e9ro.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3><b>Classification des charges de travail : quels services n\u00e9cessitent r\u00e9ellement une infrastructure souveraine<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">Toutes les charges de travail d&rsquo;une organisation r\u00e9glement\u00e9e n&rsquo;ont pas besoin de s&rsquo;ex\u00e9cuter sur un cloud souverain. Le cadre propre de la Commission reconna\u00eet que les technologies non europ\u00e9ennes peuvent satisfaire les exigences minimales de souverainet\u00e9 dans le bon contexte op\u00e9rationnel. L&rsquo;objectif d&rsquo;ing\u00e9nierie est d&rsquo;identifier quelles charges de travail n\u00e9cessitent r\u00e9ellement une infrastructure souveraine et d&rsquo;architecturer en cons\u00e9quence.<\/span><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-25563 size-full\" src=\"https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/deployment_compliance.webp\" alt=\"\" width=\"670\" height=\"819\" srcset=\"https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/deployment_compliance.webp 670w, https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/deployment_compliance-245x300.webp 245w\" sizes=\"(max-width: 670px) 100vw, 670px\" \/><\/p>\n<p>&nbsp;<\/p>\n<p><span style=\"font-weight: 400;\">Une matrice de classification des charges de travail fonctionne selon trois axes : la sensibilit\u00e9 des donn\u00e9es (donn\u00e9es personnelles sous GDPR, donn\u00e9es m\u00e9tier confidentielles, informations classifi\u00e9es), le p\u00e9rim\u00e8tre r\u00e9glementaire (services financiers couverts par DORA, services essentiels NIS2, r\u00e9glementations sectorielles sp\u00e9cifiques) et la criticit\u00e9 op\u00e9rationnelle (ce qui \u00e9choue si cet environnement est indisponible ou compromis). Les charges de travail qui scorent haut sur la sensibilit\u00e9 des donn\u00e9es et le p\u00e9rim\u00e8tre r\u00e9glementaire n\u00e9cessitent une infrastructure souveraine. Celles qui scorent bas sur les deux peuvent rester sur les hyperscalers, \u00e0 condition que les flux de donn\u00e9es entre les deux environnements soient journalis\u00e9s et contr\u00f4l\u00e9s.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Une architecture hybride est le r\u00e9sultat correct pour la plupart des organisations \u2014 pas un \u00e9chec de l&rsquo;intention de souverainet\u00e9. La matrice de classification rend la fronti\u00e8re explicite et d\u00e9fendable : les r\u00e9gulateurs peuvent voir exactement quelles charges de travail sont sur infrastructure souveraine et pourquoi, et lesquelles ne le sont pas et pourquoi c&rsquo;est conforme. La classification d\u00e9termine aussi quels environnements ont besoin de l&rsquo;architecture de gouvernance compl\u00e8te (plan de contr\u00f4le IDP auto-h\u00e9berg\u00e9, isolation RBAC, enforcement policy-as-code) et lesquels peuvent op\u00e9rer avec des contr\u00f4les all\u00e9g\u00e9s.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3><b>Migration IaC-first : utiliser Infra Import pour g\u00e9n\u00e9rer une baseline portable<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">Les organisations dont l&rsquo;infrastructure existe dans un hyperscaler sans IaC versionn\u00e9 partent d&rsquo;une migration vers la souverainet\u00e9 dans un angle mort. Sans baseline document\u00e9e, les \u00e9quipes ne savent pas ce qu&rsquo;elles d\u00e9placent, quelles d\u00e9pendances existent entre les ressources, ni quelle d\u00e9rive de configuration s&rsquo;est accumul\u00e9e depuis le d\u00e9ploiement initial.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">La capacit\u00e9 Infra Import de Cycloid, adoss\u00e9e \u00e0 l&rsquo;outil open-source<\/span><a href=\"https:\/\/www.cycloid.io\/fr\/terracognita\/\"> <span style=\"font-weight: 400;\">TerraCognita<\/span><\/a><span style=\"font-weight: 400;\">, lit les ressources cloud existantes depuis AWS, Azure, GCP et VMware et g\u00e9n\u00e8re des fichiers de configuration Terraform. La sortie est une baseline versionn\u00e9e et portable \u00e0 partir de laquelle la planification de la migration peut commencer. Les \u00e9quipes peuvent revoir l&rsquo;IaC g\u00e9n\u00e9r\u00e9 pour y trouver la d\u00e9rive (ressources qui existent dans le cloud mais pas dans la configuration), les d\u00e9pendances non document\u00e9es (ressources qui se r\u00e9f\u00e9rencent mutuellement sans d\u00e9claration explicite) et les configurations h\u00e9rit\u00e9es qui ne satisfont pas les exigences actuelles de souverainet\u00e9.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">L&rsquo;IaC g\u00e9n\u00e9r\u00e9 devient ensuite la source autoritaire pour la planification de la migration. Les environnements sont recr\u00e9\u00e9s depuis le code chez le fournisseur souverain cible, avec l&rsquo;IaC revu et approuv\u00e9 via le m\u00eame pipeline GitOps que toute autre modification d&rsquo;infrastructure. Le backend d&rsquo;\u00e9tat se d\u00e9place vers un endpoint auto-contr\u00f4l\u00e9 dans la juridiction r\u00e9glement\u00e9e, et le pipeline de livraison se connecte au nouveau compte fournisseur. Le r\u00e9sultat est une migration document\u00e9e et auditable avec un historique de changement complet.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3><b>Onboarding sur le cloud souverain sans reconstruire le pipeline de livraison<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">L&rsquo;un des obstacles pratiques les plus importants \u00e0 la migration vers la souverainet\u00e9 est l&rsquo;hypoth\u00e8se que changer de fournisseur cloud signifie reconstruire les pipelines CI\/CD, les catalogues de services et les automatisations de d\u00e9ploiement. Sur un IDP GitOps-first, le fournisseur est une variable d&rsquo;entr\u00e9e, pas le fondement de l&rsquo;architecture de livraison.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Un d\u00e9veloppeur interagissant avec un StackForm ne voit pas l&rsquo;API du fournisseur sous-jacente. Le formulaire demande quel environnement d\u00e9ployer, quelle taille, quelle r\u00e9gion \u2014 et la plateforme traduit ces inputs en appels API sp\u00e9cifiques au fournisseur en coulisses. Changer la cible de d\u00e9ploiement d&rsquo;AWS Francfort vers Scaleway Paris, pour des stacks con\u00e7ues pour \u00eatre ind\u00e9pendantes du fournisseur, n\u00e9cessite d&rsquo;ajouter un nouveau compte fournisseur \u00e0 la plateforme et de l&rsquo;exposer aux tenants concern\u00e9s. Le StackForm ne change pas. Le template de pipeline ne change pas.<\/span><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-25566 size-full\" src=\"https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/create_new_project_stacks.webp\" alt=\"\" width=\"1999\" height=\"947\" srcset=\"https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/create_new_project_stacks.webp 1999w, https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/create_new_project_stacks-300x142.webp 300w, https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/create_new_project_stacks-1024x485.webp 1024w, https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/create_new_project_stacks-768x364.webp 768w, https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/create_new_project_stacks-1536x728.webp 1536w\" sizes=\"(max-width: 1999px) 100vw, 1999px\" \/><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-25569 size-full\" src=\"https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/environments.webp\" alt=\"\" width=\"1999\" height=\"836\" srcset=\"https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/environments.webp 1999w, https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/environments-300x125.webp 300w, https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/environments-1024x428.webp 1024w, https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/environments-768x321.webp 768w, https:\/\/www.cycloid.io\/wp-content\/uploads\/2026\/06\/environments-1536x642.webp 1536w\" sizes=\"(max-width: 1999px) 100vw, 1999px\" \/><\/p>\n<p>&nbsp;<\/p>\n<p><span style=\"font-weight: 400;\">Ce qui change \u00e0 la place, c&rsquo;est la destination de l&rsquo;infrastructure et la politique de gouvernance qui lui est attach\u00e9e. La couche d&rsquo;inventaire d&rsquo;actifs de Cycloid offre aux \u00e9quipes platform une visibilit\u00e9 en temps r\u00e9el sur les charges de travail, les stacks Terraform, les comptes cloud et les ressources Kubernetes qui existent dans les environnements r\u00e9glement\u00e9s et non r\u00e9glement\u00e9s. Pendant la migration vers la souverainet\u00e9, cela devient la source de v\u00e9rit\u00e9 op\u00e9rationnelle pour identifier quels services d\u00e9pendent encore d&rsquo;une infrastructure non souveraine et quels environnements ont d\u00e9j\u00e0 migr\u00e9.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Les capacit\u00e9s InfraView et InfraMap open-source de Cycloid g\u00e9n\u00e8rent ensuite la topologie d&rsquo;infrastructure directement depuis l&rsquo;\u00e9tat Terraform en direct, produisant automatiquement la documentation d&rsquo;environnement au lieu de s&rsquo;appuyer sur des diagrammes d&rsquo;architecture maintenus manuellement. Pour les \u00e9quipes qui se pr\u00e9parent \u00e0 des audits NIS2 ou DORA, cela cr\u00e9e des preuves d&rsquo;infrastructure continuellement mises \u00e0 jour montrant les fronti\u00e8res r\u00e9seau, les d\u00e9pendances aux fournisseurs et les relations entre ressources dans les environnements souverains et non souverains.<\/span><\/p>\n<p>&nbsp;<\/p>\n<table style=\"background-color: #fdf6e3;\">\n<tbody>\n<tr>\n<td><span style=\"font-weight: 400;\">Git Repository<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"> \u2193<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\">Cycloid <\/span><span style=\"font-weight: 400; color: #ff0000;\">Stack<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"> \u2193<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\">Terraform State<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"> \u2193<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\">InfraView \/ InfraMap<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"> \u2193<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\">Live Sovereign Infrastructure Topology<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p><a href=\"https:\/\/www.cycloid.io\/fr\/solutions\/self-service-portal\/\"><span style=\"font-weight: 400;\">Les StackForms de Cycloid<\/span><\/a><span style=\"font-weight: 400;\"> permettent la s\u00e9lection du compte cloud comme variable de formulaire, ce qui signifie que les \u00e9quipes platform peuvent ajouter un fournisseur souverain comme nouvelle option de compte et le rendre imm\u00e9diatement disponible pour les tenants qui en ont besoin \u2014 sans reconstruire le catalogue de services ni r\u00e9outiller le pipeline de livraison. Les stacks existantes qui se d\u00e9ploient d\u00e9j\u00e0 via les pipelines Concourse continuent de le faire. Le compte fournisseur est simplement une autre destination.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">La couche Components de Cycloid devient particuli\u00e8rement utile lors de migrations vers la souverainet\u00e9 par phases o\u00f9 les services sp\u00e9cifiques aux fournisseurs doivent \u00eatre \u00e9chang\u00e9s progressivement plut\u00f4t que de reconstruire des stacks enti\u00e8res. Les \u00e9quipes peuvent remplacer des composants d&rsquo;infrastructure individuels \u2014 par exemple en passant de bases de donn\u00e9es manag\u00e9es AWS vers des \u00e9quivalents Scaleway ou Outscale \u2014 sans redesigner le workflow de d\u00e9ploiement environnant. L&rsquo;abstraction intervient au niveau de la couche composant plut\u00f4t que d&rsquo;obliger les \u00e9quipes \u00e0 reconstruire l&rsquo;ensemble du catalogue de services.<\/span><\/p>\n<p>&nbsp;<\/p>\n<table style=\"background-color: #fdf6e3;\">\n<tbody>\n<tr>\n<td><span style=\"color: #ff0000;\"><span style=\"font-weight: 400;\">components:<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"> database:<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"> provider:<\/span><\/span><span style=\"font-weight: 400;\"> scaleway<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"color: #ff0000;\"><span style=\"font-weight: 400;\"> kubernetes:<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"> provider:<\/span><\/span><span style=\"font-weight: 400;\"> stackit<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"color: #ff0000;\"><span style=\"font-weight: 400;\"> storage:<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\"> provider:<\/span><\/span><span style=\"font-weight: 400;\"> ionos<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p><span style=\"font-weight: 400;\">C&rsquo;est l\u00e0 que le mod\u00e8le de souverainet\u00e9 de Cycloid diff\u00e8re d&rsquo;une plateforme interne de d\u00e9veloppement SaaS standard. La plateforme elle-m\u00eame peut s&rsquo;ex\u00e9cuter dans des environnements d\u00e9di\u00e9s, auto-h\u00e9berg\u00e9s, isol\u00e9s ou enti\u00e8rement air-gapp\u00e9s tout en pr\u00e9servant le m\u00eame mod\u00e8le RBAC, le m\u00eame pipeline d&rsquo;audit, le m\u00eame moteur de politiques, les m\u00eames StackForms et les m\u00eames contr\u00f4les de gouvernance. La souverainet\u00e9 est appliqu\u00e9e non seulement au niveau de l&rsquo;infrastructure, mais au niveau du plan de contr\u00f4le o\u00f9 les approbations de d\u00e9ploiement, l&rsquo;acc\u00e8s \u00e0 l&rsquo;\u00e9tat Terraform, les journaux d&rsquo;audit et les m\u00e9tadonn\u00e9es op\u00e9rationnelles sont g\u00e9n\u00e9r\u00e9s et stock\u00e9s.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h2><b>Conclusion<\/b><\/h2>\n<p><span style=\"font-weight: 400;\">La souverainet\u00e9 cloud est pass\u00e9e d&rsquo;une \u00e9tiquette de conformit\u00e9 \u00e0 une sp\u00e9cification de conception syst\u00e8me. Le Cloud Sovereignty Framework en huit dimensions de la Commission europ\u00e9enne d&rsquo;avril 2026, les exigences de risque tiers et de risque de concentration de DORA, les obligations de documentation de la cha\u00eene d&rsquo;approvisionnement de NIS2 et les restrictions de transfert du GDPR d\u00e9finissent collectivement une architecture technique \u2014 une qui n\u00e9cessite des backends d&rsquo;\u00e9tat IaC auto-contr\u00f4l\u00e9s, des plans de contr\u00f4le de plateforme qui ne routent pas les m\u00e9tadonn\u00e9es en dehors de la juridiction r\u00e9glement\u00e9e, du policy-as-code qui applique le placement des charges de travail avant l&rsquo;ex\u00e9cution des d\u00e9ploiements et des d\u00e9finitions d&rsquo;infrastructure portables qui ne cr\u00e9ent pas de risque de sortie.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Les \u00e9quipes qui traitent la souverainet\u00e9 comme une d\u00e9cision d&rsquo;achat s&rsquo;enfermeront dans une impasse. Quand le CADA formalisera les crit\u00e8res d&rsquo;\u00e9ligibilit\u00e9 \u00e0 travers le march\u00e9 unique europ\u00e9en, les organisations dont l&rsquo;infrastructure est opaque (pas d&rsquo;IaC versionn\u00e9), dont le plan de contr\u00f4le IDP est un syst\u00e8me SaaS \u00e9tranger (enregistrements d&rsquo;approbation hors de la juridiction europ\u00e9enne) et dont la classification des charges de travail est non document\u00e9e (pas de base pour d\u00e9montrer la conformit\u00e9) feront face \u00e0 une rem\u00e9diation co\u00fbteuse sous contrainte de d\u00e9lai. Les \u00e9quipes qui int\u00e8grent l&rsquo;architecture de gouvernance dans la couche de plateforme maintenant \u2014 plans de contr\u00f4le auto-h\u00e9berg\u00e9s, pipelines GitOps-first, enforcement policy-as-code, fronti\u00e8res de charges de travail classifi\u00e9es \u2014 disposeront des preuves d&rsquo;audit, de l&rsquo;IaC portable et de la flexibilit\u00e9 architecturale pour r\u00e9pondre \u00e0 toute prochaine sp\u00e9cification r\u00e9glementaire.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h2><b>FAQ<\/b><\/h2>\n<p>&nbsp;<\/p>\n<h3><b>1. Quelle est la diff\u00e9rence entre la souverainet\u00e9 cloud, la souverainet\u00e9 des donn\u00e9es et la r\u00e9sidence des donn\u00e9es pour les \u00e9quipes d&rsquo;ing\u00e9nierie ?<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">La r\u00e9sidence est l&#8217;emplacement du mat\u00e9riel, tandis que la souverainet\u00e9 des donn\u00e9es concerne la juridiction l\u00e9gale et l&rsquo;acc\u00e8s. La souverainet\u00e9 cloud ajoute huit dimensions comme l&rsquo;ind\u00e9pendance op\u00e9rationnelle et la visibilit\u00e9 de la cha\u00eene d&rsquo;approvisionnement. Les fournisseurs am\u00e9ricains \u00e0 Francfort satisfont la r\u00e9sidence, mais le CLOUD Act peut entra\u00eener un \u00e9chec \u00e0 la souverainet\u00e9.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><b>2. Comment l&rsquo;\u00e9valuation en huit dimensions du Cloud Sovereignty Framework de l&rsquo;UE affecte-t-elle le choix de la cha\u00eene d&rsquo;outils IDP ?<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">L&rsquo;accent du framework sur l&rsquo;ouverture technologique favorise les standards ouverts comme Kubernetes et Terraform pour pr\u00e9venir le risque de sortie. Pour satisfaire les exigences juridiques et juridictionnelles, le plan de contr\u00f4le de l&rsquo;IDP doit op\u00e9rer dans la juridiction r\u00e9glement\u00e9e. Cette r\u00e8gle restreint les plateformes SaaS h\u00e9berg\u00e9es en dehors de l&rsquo;UE pour les organisations suivant les standards DORA ou NIS2.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><b>3. Quelles obligations DORA sp\u00e9cifiques n\u00e9cessitent des changements dans la fa\u00e7on dont les \u00e9quipes platform stockent l&rsquo;\u00e9tat Terraform et les pistes d&rsquo;audit de d\u00e9ploiement ?<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">L&rsquo;Article 28 de DORA exige des d\u00e9pendances ICT document\u00e9es et un risque de concentration g\u00e9r\u00e9 \u2014 ce qui n&rsquo;est pas satisfait si l&rsquo;on utilise un stockage contr\u00f4l\u00e9 par les \u00c9tats-Unis pour l&rsquo;\u00e9tat d&rsquo;infrastructure. L&rsquo;\u00e9tat doit r\u00e9sider dans des backends europ\u00e9ens auto-contr\u00f4l\u00e9s o\u00f9 l&rsquo;historique des changements est tra\u00e7able jusqu&rsquo;aux utilisateurs autoris\u00e9s et aux ex\u00e9cutions de pipeline. Cela garantit que les enregistrements de configuration restent dans le territoire r\u00e9glement\u00e9 \u00e0 des fins d&rsquo;audit.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><b>4. Les organisations peuvent-elles utiliser AWS ou Azure et n\u00e9anmoins satisfaire les exigences de souverainet\u00e9 cloud de l&rsquo;UE dans le cadre du framework 2026 de la Commission ?<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">Les organisations peuvent utiliser les hyperscalers si la technologie est op\u00e9r\u00e9e dans un cadre contr\u00f4l\u00e9 par l&rsquo;UE o\u00f9 un personnel r\u00e9sidant dans l&rsquo;UE g\u00e8re les cl\u00e9s de chiffrement. Bien que des mod\u00e8les comme AWS European Sovereign Cloud visent la s\u00e9paration, la conformit\u00e9 repose sur l&rsquo;architecture technique plut\u00f4t que sur les d\u00e9clarations du fournisseur. Une revue tierce selon le framework en huit dimensions est n\u00e9cessaire pour v\u00e9rifier ces affirmations de souverainet\u00e9.<\/span><\/p>\n","protected":false},"featured_media":7713,"parent":0,"template":"","meta":{"_acf_changed":false},"language":[],"tags":[],"class_list":["post-25748","blogs","type-blogs","status-publish","has-post-thumbnail","hentry"],"acf":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.8 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>Souverainet\u00e9 cloud pour les environnements r\u00e9glement\u00e9s UE | Cycloid<\/title>\n<meta name=\"description\" content=\"Comment les \u00e9quipes platform construisent une architecture cloud souveraine conforme \u00e0 DORA, NIS2 et au Cloud Sovereignty Framework de l&#039;UE : IaC portable, contr\u00f4le juridictionnel et policy-as-code.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.cycloid.io\/fr\/blog\/souverainete-cloud-concevoir-une-infrastructure-conforme-pour-les-charges-de-travail-reglementees-en-ue\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Souverainet\u00e9 cloud pour les environnements r\u00e9glement\u00e9s UE | Cycloid\" \/>\n<meta property=\"og:description\" content=\"Comment les \u00e9quipes platform construisent une architecture cloud souveraine conforme \u00e0 DORA, NIS2 et au Cloud Sovereignty Framework de l&#039;UE : IaC portable, contr\u00f4le juridictionnel et policy-as-code.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.cycloid.io\/fr\/blog\/souverainete-cloud-concevoir-une-infrastructure-conforme-pour-les-charges-de-travail-reglementees-en-ue\/\" \/>\n<meta property=\"article:modified_time\" content=\"2026-06-17T09:03:18+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.cycloid.io\/wp-content\/uploads\/2023\/02\/cloud_budgets_blog-v1-1024x644.png\" \/>\n\t<meta property=\"og:image:width\" content=\"1024\" \/>\n\t<meta property=\"og:image:height\" content=\"644\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Dur\u00e9e de lecture estim\u00e9e\" \/>\n\t<meta name=\"twitter:data1\" content=\"36 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/www.cycloid.io\\\/fr\\\/blog\\\/souverainete-cloud-concevoir-une-infrastructure-conforme-pour-les-charges-de-travail-reglementees-en-ue\\\/\",\"url\":\"https:\\\/\\\/www.cycloid.io\\\/fr\\\/blog\\\/souverainete-cloud-concevoir-une-infrastructure-conforme-pour-les-charges-de-travail-reglementees-en-ue\\\/\",\"name\":\"Souverainet\u00e9 cloud pour les environnements r\u00e9glement\u00e9s UE | Cycloid\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.cycloid.io\\\/fr\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/www.cycloid.io\\\/fr\\\/blog\\\/souverainete-cloud-concevoir-une-infrastructure-conforme-pour-les-charges-de-travail-reglementees-en-ue\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/www.cycloid.io\\\/fr\\\/blog\\\/souverainete-cloud-concevoir-une-infrastructure-conforme-pour-les-charges-de-travail-reglementees-en-ue\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.cycloid.io\\\/wp-content\\\/uploads\\\/2023\\\/02\\\/cloud_budgets_blog-v1.webp\",\"datePublished\":\"2026-06-11T05:54:39+00:00\",\"dateModified\":\"2026-06-17T09:03:18+00:00\",\"description\":\"Comment les \u00e9quipes platform construisent une architecture cloud souveraine conforme \u00e0 DORA, NIS2 et au Cloud Sovereignty Framework de l'UE : IaC portable, contr\u00f4le juridictionnel et policy-as-code.\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/www.cycloid.io\\\/fr\\\/blog\\\/souverainete-cloud-concevoir-une-infrastructure-conforme-pour-les-charges-de-travail-reglementees-en-ue\\\/#breadcrumb\"},\"inLanguage\":\"fr-FR\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/www.cycloid.io\\\/fr\\\/blog\\\/souverainete-cloud-concevoir-une-infrastructure-conforme-pour-les-charges-de-travail-reglementees-en-ue\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-FR\",\"@id\":\"https:\\\/\\\/www.cycloid.io\\\/fr\\\/blog\\\/souverainete-cloud-concevoir-une-infrastructure-conforme-pour-les-charges-de-travail-reglementees-en-ue\\\/#primaryimage\",\"url\":\"https:\\\/\\\/www.cycloid.io\\\/wp-content\\\/uploads\\\/2023\\\/02\\\/cloud_budgets_blog-v1.webp\",\"contentUrl\":\"https:\\\/\\\/www.cycloid.io\\\/wp-content\\\/uploads\\\/2023\\\/02\\\/cloud_budgets_blog-v1.webp\",\"width\":2400,\"height\":1509,\"caption\":\"Cloud cost budgets blog image\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/www.cycloid.io\\\/fr\\\/blog\\\/souverainete-cloud-concevoir-une-infrastructure-conforme-pour-les-charges-de-travail-reglementees-en-ue\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\\\/\\\/www.cycloid.io\\\/fr\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Blogs\",\"item\":\"https:\\\/\\\/www.cycloid.io\\\/fr\\\/blogs\\\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"Souverainet\u00e9 cloud : concevoir une infrastructure conforme pour les charges de travail r\u00e9glement\u00e9es en UE\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/www.cycloid.io\\\/fr\\\/#website\",\"url\":\"https:\\\/\\\/www.cycloid.io\\\/fr\\\/\",\"name\":\"\",\"description\":\"\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/www.cycloid.io\\\/fr\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"fr-FR\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Souverainet\u00e9 cloud pour les environnements r\u00e9glement\u00e9s UE | Cycloid","description":"Comment les \u00e9quipes platform construisent une architecture cloud souveraine conforme \u00e0 DORA, NIS2 et au Cloud Sovereignty Framework de l'UE : IaC portable, contr\u00f4le juridictionnel et policy-as-code.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.cycloid.io\/fr\/blog\/souverainete-cloud-concevoir-une-infrastructure-conforme-pour-les-charges-de-travail-reglementees-en-ue\/","og_locale":"fr_FR","og_type":"article","og_title":"Souverainet\u00e9 cloud pour les environnements r\u00e9glement\u00e9s UE | Cycloid","og_description":"Comment les \u00e9quipes platform construisent une architecture cloud souveraine conforme \u00e0 DORA, NIS2 et au Cloud Sovereignty Framework de l'UE : IaC portable, contr\u00f4le juridictionnel et policy-as-code.","og_url":"https:\/\/www.cycloid.io\/fr\/blog\/souverainete-cloud-concevoir-une-infrastructure-conforme-pour-les-charges-de-travail-reglementees-en-ue\/","article_modified_time":"2026-06-17T09:03:18+00:00","og_image":[{"width":1024,"height":644,"url":"https:\/\/www.cycloid.io\/wp-content\/uploads\/2023\/02\/cloud_budgets_blog-v1-1024x644.png","type":"image\/png"}],"twitter_card":"summary_large_image","twitter_misc":{"Dur\u00e9e de lecture estim\u00e9e":"36 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/www.cycloid.io\/fr\/blog\/souverainete-cloud-concevoir-une-infrastructure-conforme-pour-les-charges-de-travail-reglementees-en-ue\/","url":"https:\/\/www.cycloid.io\/fr\/blog\/souverainete-cloud-concevoir-une-infrastructure-conforme-pour-les-charges-de-travail-reglementees-en-ue\/","name":"Souverainet\u00e9 cloud pour les environnements r\u00e9glement\u00e9s UE | Cycloid","isPartOf":{"@id":"https:\/\/www.cycloid.io\/fr\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.cycloid.io\/fr\/blog\/souverainete-cloud-concevoir-une-infrastructure-conforme-pour-les-charges-de-travail-reglementees-en-ue\/#primaryimage"},"image":{"@id":"https:\/\/www.cycloid.io\/fr\/blog\/souverainete-cloud-concevoir-une-infrastructure-conforme-pour-les-charges-de-travail-reglementees-en-ue\/#primaryimage"},"thumbnailUrl":"https:\/\/www.cycloid.io\/wp-content\/uploads\/2023\/02\/cloud_budgets_blog-v1.webp","datePublished":"2026-06-11T05:54:39+00:00","dateModified":"2026-06-17T09:03:18+00:00","description":"Comment les \u00e9quipes platform construisent une architecture cloud souveraine conforme \u00e0 DORA, NIS2 et au Cloud Sovereignty Framework de l'UE : IaC portable, contr\u00f4le juridictionnel et policy-as-code.","breadcrumb":{"@id":"https:\/\/www.cycloid.io\/fr\/blog\/souverainete-cloud-concevoir-une-infrastructure-conforme-pour-les-charges-de-travail-reglementees-en-ue\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.cycloid.io\/fr\/blog\/souverainete-cloud-concevoir-une-infrastructure-conforme-pour-les-charges-de-travail-reglementees-en-ue\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/www.cycloid.io\/fr\/blog\/souverainete-cloud-concevoir-une-infrastructure-conforme-pour-les-charges-de-travail-reglementees-en-ue\/#primaryimage","url":"https:\/\/www.cycloid.io\/wp-content\/uploads\/2023\/02\/cloud_budgets_blog-v1.webp","contentUrl":"https:\/\/www.cycloid.io\/wp-content\/uploads\/2023\/02\/cloud_budgets_blog-v1.webp","width":2400,"height":1509,"caption":"Cloud cost budgets blog image"},{"@type":"BreadcrumbList","@id":"https:\/\/www.cycloid.io\/fr\/blog\/souverainete-cloud-concevoir-une-infrastructure-conforme-pour-les-charges-de-travail-reglementees-en-ue\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/www.cycloid.io\/fr\/"},{"@type":"ListItem","position":2,"name":"Blogs","item":"https:\/\/www.cycloid.io\/fr\/blogs\/"},{"@type":"ListItem","position":3,"name":"Souverainet\u00e9 cloud : concevoir une infrastructure conforme pour les charges de travail r\u00e9glement\u00e9es en UE"}]},{"@type":"WebSite","@id":"https:\/\/www.cycloid.io\/fr\/#website","url":"https:\/\/www.cycloid.io\/fr\/","name":"","description":"","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.cycloid.io\/fr\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"}]}},"_links":{"self":[{"href":"https:\/\/www.cycloid.io\/fr\/wp-json\/wp\/v2\/blogs\/25748","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.cycloid.io\/fr\/wp-json\/wp\/v2\/blogs"}],"about":[{"href":"https:\/\/www.cycloid.io\/fr\/wp-json\/wp\/v2\/types\/blogs"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.cycloid.io\/fr\/wp-json\/wp\/v2\/media\/7713"}],"wp:attachment":[{"href":"https:\/\/www.cycloid.io\/fr\/wp-json\/wp\/v2\/media?parent=25748"}],"wp:term":[{"taxonomy":"language","embeddable":true,"href":"https:\/\/www.cycloid.io\/fr\/wp-json\/wp\/v2\/language?post=25748"},{"taxonomy":"tags","embeddable":true,"href":"https:\/\/www.cycloid.io\/fr\/wp-json\/wp\/v2\/tags?post=25748"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}