OVHcloud crée une division Défense : signal faible ou tournant stratégique pour la souveraineté numérique ?

OVHcloud crée une division Défense : signal faible ou tournant stratégique pour la souveraineté numérique ?

Un hyperscaler européen qui crée une branche dédiée à la défense nationale, ce n'est pas anodin. Ce n'est pas non plus une surprise totale — mais la formalisation de cette démarche par OVHcloud mérite qu'on s'arrête dessus, sans se laisser emporter par les grands discours sur « l'autonomie stratégique européenne ». Ce qui compte, c'est ce que ça signifie concrètement pour ceux qui, chaque jour, prennent des décisions d'infrastructure.

Ce qui s'est passé, et pourquoi maintenant

OVHcloud a officialisé la création d'une division spécifiquement orientée vers les marchés de la défense et du secteur régalien. Concrètement, il s'agit d'une entité organisationnelle dédiée, avec ses propres équipes commerciales, ses ingénieurs avant-vente spécialisés, et — c'est le point clé — une offre d'infrastructure conçue pour répondre aux exigences de qualification les plus élevées, notamment les niveaux SecNumCloud de l'ANSSI et les standards équivalents dans d'autres pays européens.

Pourquoi maintenant ? Plusieurs facteurs convergent. Le contexte géopolitique européen depuis 2022 a profondément modifié les priorités budgétaires des États membres : les enveloppes défense ont gonflé, et avec elles, les projets de modernisation des systèmes d'information militaires et para-militaires. En parallèle, la pression réglementaire s'est intensifiée — le règlement européen sur la cybersécurité (Cyber Resilience Act), NIS2, et les exigences croissantes sur la localisation des données souveraines créent un marché captif que les hyperscalers américains ne peuvent tout simplement pas adresser sans friction juridique et politique majeure.

OVHcloud n'est pas le premier à tenter ce positionnement. Thales, avec son offre S3NS construite sur Google Cloud en zone de confiance, a ouvert une voie hybride intéressante. Mais OVHcloud joue une carte différente : une infrastructure 100% propriétaire, des datacenters sur sol européen, et une gouvernance qui n'a pas de lien capitalistique avec une entité soumise au droit américain (CLOUD Act, FISA). C'est précisément ce différenciateur que la division Défense va chercher à monétiser.

Ce que ça change — et ce que ça ne change pas encore

Soyons honnêtes : créer une division, c'est d'abord un signal commercial et organisationnel. Ça ne fait pas apparaître du jour au lendemain des certifications supplémentaires, ni des équipes d'ingénieurs aux habilitations Confidentiel Défense. Le vrai test sera dans l'exécution.

Mais pour un DSI ou un CTO d'une ETI travaillant dans des secteurs sensibles — industrie de défense, aéronautique, énergie, santé critique, ou simplement sous-traitant d'un grand groupe soumis à des obligations de supply chain security — ce mouvement a plusieurs implications concrètes.

Premièrement, l'offre souveraine va s'étoffer et se structurer. Jusqu'ici, naviguer dans le catalogue OVHcloud pour identifier ce qui était réellement qualifié SecNumCloud relevait parfois du parcours du combattant. Une division dédiée signifie théoriquement une meilleure lisibilité de l'offre, des interlocuteurs qui comprennent les enjeux réglementaires spécifiques, et une roadmap produit alignée sur les besoins du secteur. C'est une bonne nouvelle, même si la promesse doit encore se vérifier dans la réalité.

Deuxièmement, les SLA et les niveaux de service vont devoir monter d'un cran. Le secteur défense ne négocie pas sur les mêmes critères que le secteur commercial. Les exigences de résilience, de continuité opérationnelle, de cloisonnement des données et d'auditabilité sont d'un ordre de magnitude différent. Si OVHcloud veut crédibiliser cette division, il va devoir investir massivement dans ses processus internes — et probablement recruter des profils issus du monde régalien. Ce n'est pas une transformation qui se fait en six mois.

Troisièmement, et c'est peut-être le point le plus important pour les DSI non-défense, ce positionnement a un effet d'entraînement sur l'ensemble de l'offre. Les standards de sécurité et de conformité développés pour la défense finissent toujours par irriguer les offres grand public. Ce qui est certifié pour une direction interministérielle devient souvent la baseline pour une banque régionale ou un opérateur d'importance vitale. Historiquement, c'est toujours ainsi que la sécurité progresse dans les écosystèmes cloud.

Le vrai débat : souveraineté de façade ou souveraineté opérationnelle ?

Il faut nommer le problème qui revient systématiquement dans les discussions entre DSI : il existe deux façons de comprendre la « souveraineté numérique ».

La première, qu'on pourrait appeler la souveraineté juridique, consiste à s'assurer que les données ne tombent pas sous une juridiction étrangère. C'est la réponse au CLOUD Act, à l'extraterritorialité américaine, aux risques de réquisition. OVHcloud — comme d'autres opérateurs européens — peut légitimement cocher cette case.

La seconde, la souveraineté opérationnelle, est beaucoup plus difficile à atteindre. Elle implique de ne pas dépendre de technologies dont on ne maîtrise ni la roadmap, ni les vulnérabilités, ni la pérennité. Or, même OVHcloud dépend de composants matériels (processeurs, équipements réseau) et de briques logicielles dont l'origine n'est pas toujours européenne. La question n'est pas de pointer du doigt OVHcloud — c'est une réalité structurelle de l'industrie tech mondiale — mais de ne pas confondre les deux niveaux d'analyse.

Quand une DSI d'une entreprise du secteur aéronautique ou naval me demande si elle peut « passer souveraine » grâce à cette division Défense d'OVHcloud, ma réponse honnête est : ça dépend de ce que vous entendez par là. Pour la conformité réglementaire et la protection juridique des données, probablement oui, dans les périmètres certifiés. Pour une indépendance technologique totale, personne ne peut vous la vendre aujourd'hui — ni en France, ni en Europe.

Ce que les DSI devraient faire concrètement

Pas de liste à n'en plus finir. Trois réflexions de fond, dans l'ordre de priorité.

Cartographiez d'abord vos données selon leur sensibilité réelle, pas selon leur sensibilité perçue. C'est le préalable à tout. Beaucoup d'entreprises ont tendance à vouloir « tout mettre souverain » par précaution, ce qui aboutit à des architectures coûteuses et peu agiles. D'autres sous-estiment la criticité de certains flux. Avant de regarder si l'offre défense d'OVHcloud vous correspond, sachez exactement quelles données nécessitent quel niveau de protection. Les référentiels ANSSI (notamment le guide de classification) sont vos meilleurs alliés pour cet exercice.

Posez des questions précises sur les certifications, pas sur le marketing. Quand un commercial vous parle de « cloud souverain », demandez systématiquement : quelle qualification ANSSI, à quel niveau, pour quels services spécifiquement, et avec quelle date de renouvellement ? La qualification SecNumCloud est rigoureuse, mais elle est périmètre par périmètre, service par service. Une offre d'hébergement qualifiée ne signifie pas que le service de backup ou la solution de supervision qui l'accompagne le sont également.

Intégrez la dépendance fournisseur dans votre analyse de risque. Que vous choisissiez OVHcloud, Outscale (filiale cloud de Dassault Systèmes), ou tout autre acteur européen, la question de la réversibilité doit être posée dès le départ. Pas comme une posture négociante, mais comme une discipline d'architecture. Vos contrats prévoient-ils des droits à la portabilité des données ? Vos équipes ont-elles documenté les procédures de migration ? Ce n'est pas une méfiance envers votre fournisseur — c'est de la gestion de risque élémentaire.

En conclusion : un acteur qui se transforme, un marché qui attend la preuve

La création de cette division Défense par OVHcloud est probablement le mouvement le plus significatif qu'un opérateur cloud européen indépendant ait effectué depuis plusieurs années. Ce n'est pas rien. Ça traduit une lecture lucide du marché, une volonté de se différencier structurellement des hyperscalers américains, et — espérons-le — un engagement durable sur les standards de sécurité les plus exigeants.

Mais un mouvement stratégique ne vaut que par son exécution. Les DSI et CTO qui évoluent dans des secteurs sensibles ont appris, souvent à leurs dépens, à ne pas confondre annonce et réalité opérationnelle. La vraie question n'est pas de savoir si OVHcloud a eu raison de créer cette division — elle était probablement inévitable et bienvenue. La vraie question, c'est de savoir si l'entreprise a les ressources humaines, la maturité des processus et la patience stratégique nécessaires pour tenir cette promesse dans la durée.

La souveraineté numérique européenne ne se construira pas avec un seul acteur, ni avec un seul mouvement. Mais elle se construit, pièce par pièce. Et quand un opérateur de la taille d'OVHcloud pose une pierre aussi visible, c'est le signe que le bâtiment commence à avoir une forme reconnaissable.

La prochaine étape appartient aux décideurs IT : pas celle de choisir ou de rejeter en bloc, mais celle de poser les bonnes questions — et d'exiger des réponses précises.