11. mars 2026 | Imprimer l'article |

La sécurité cloud comme produit d’exportation allemand : C5, cloud souverain et avantage européen

8 min de lecture

AWS a étendu en 2025 son attestation BSI-C5 à 183 services – y compris à Singapour. Un cadre de sécurité allemand sert désormais de norme de référence en Asie. Le groupe Schwarz investit 11 milliards d’euros dans STACKIT, SAP consacre 20 milliards d’euros au cloud souverain. Selon Gartner, les dépenses européennes en cloud souverain tripleront entre 2025 et 2027. La sécurité cloud « Made in Germany » n’est plus un produit de niche. C’est un produit d’exportation au marché mondial croissant.

L’essentiel

  • C5 en tant que norme d’exportation : AWS utilise déjà l’attestation BSI-C5 pour 9 régions mondiales, y compris Singapour – un cadre de sécurité allemand avec une portée mondiale
  • Explosion du cloud souverain : les dépenses européennes passent de 6,9 milliards de dollars (2025) à 23,1 milliards (2027), soit un triplement ; à l’échelle mondiale, 80 milliards en 2026 (Gartner)
  • Acteurs allemands : STACKIT (investissement de 11 milliards), SAP Sovereign Cloud (20 milliards), T-Systems (partenaire Copernicus, modèle souverain Google)
  • Avantage réglementaire : NIS2, EU Data Act et CRA favorisent structurellement les fournisseurs sous juridiction européenne et offrant une souveraineté des données prouvée
  • Marché du cloud en Allemagne : 20 milliards d’euros en 2025 (hausse de 17 %), 90 % des entreprises utilisent le cloud, 82 % souhaitent éviter la dépendance aux fournisseurs américains (Bitkom)

L’attestation C5 : comment une norme allemande conquiert le monde

Le Cloud Computing Compliance Criteria Catalogue (C5) a été introduit en 2016 par le BSI et profondément révisé en 2020. Il définit des exigences minimales pour des services cloud sécurisés dans 17 domaines thématiques, couvrant environ 125 critères individuels. Deux types d’attestation : Type 1 vérifie la conception et la mise en œuvre à une date donnée, Type 2 évalue l’efficacité constante sur une période définie.

Ce qui distingue C5 des autres cadres, c’est son caractère exportable. En 2025, AWS a finalisé son attestation C5 Type 2 couvrant 183 services (2024 : 179, 2023 : 170 – la tendance est à la hausse). Les régions incluses : Francfort, Irlande, Londres, Milan, Paris, Stockholm, Espagne, Zurich – et Singapour. Un cadre de sécurité allemand que AWS utilise comme référence pour le marché asiatique. Il ne s’agit pas d’un succès d’exportation théorique, mais d’une réalité documentée.

Depuis le 1er juillet 2025, l’attestation C5 Type 2 est obligatoire par la loi pour les services cloud traitant des données de santé et sociales. La mise à jour C5 :2025 (brouillon communautaire) aligne explicitement la norme sur le cadre européen EUCS (niveau Substantial). C5 devient ainsi un pont entre la norme nationale allemande et l’harmonisation européenne.

En comparaison internationale, C5 se positionne entre le FedRAMP américain (réservé aux contrats avec les administrations américaines, limité aux États-Unis) et le SecNumCloud français (plus strict, mais plus restreint géographiquement). FedRAMP repose sur NIST SP 800-53 et ne s’applique qu’aux contrats avec les agences fédérales américaines. SecNumCloud, établi par l’ANSSI française, impose les exigences les plus élevées en Europe et exclut structurellement les hyperscalers américains, car aucune exposition à une juridiction non européenne n’est autorisée. C5 est audité par des cabinets d’expertise indépendants selon ISAE 3000, est technologiquement neutre et exportable – ce qui en fait le cadre le plus internationalisé des trois.

La preuve concrète : les hyperscalers américains ont dû obtenir des attestations C5 pour rester compétitifs sur le marché européen des entreprises. AWS investit chaque année dans l’élargissement de la portée de son C5 (de 170 services en 2023 à 183 en 2025). Microsoft Azure et Google Cloud possèdent également des attestations C5. Une norme initialement purement allemande est devenue de facto une condition d’accès au marché cloud européen. C’est la sécurité cloud en tant que produit d’exportation dans son sens le plus pur : ce n’est pas le cloud allemand qui est exporté, mais bien le cadre de sécurité allemand.

183
Services AWS certifiés C5
3x
Triplement du cloud souverain européen d’ici 2027
20 Mrd. EUR
Marché du cloud allemand en 2025

Quelles : Blog AWS 2025, Gartner février 2026, Rapport Cloud Bitkom 2025

STACKIT, SAP, T-Systems : trois modèles allemands pour un cloud souverain

STACKIT (groupe Schwarz) est le projet de cloud souverain allemand le plus ambitieux. Le groupe Schwarz (Lidl, Kaufland) investit 11 milliards d’euros dans le développement d’une plateforme cloud autonome. STACKIT a obtenu l’attestation C5 Type 1 fin 2023, suivie par le Type 2 en 2024. S’ajoutent les certifications ISAE 3000 (SOC 2), ISAE 3402 et ISO 27001. Ce package combiné permet aux clients internationaux du groupe Schwarz d’assurer une base de conformité uniforme. Parallèlement, STACKIT collabore avec Google pour des solutions de workplace souveraines – un modèle hybride qui allie contrôle européen et fonctionnalités d’hyperscaler.

SAP Sovereign Cloud (Delos) adopte une approche différente. SAP a créé avec sa filiale Delos une entité dédiée au cloud souverain et annoncé un programme d’investissement de 20 milliards d’euros. L’objectif : exécuter les logiciels SAP essentiels sur des systèmes sous contrôle européen. Pour les entreprises qui utilisent SAP comme pilier de leurs processus métiers (la majorité des grandes entreprises allemandes), un cloud SAP souverain est une nécessité stratégique – non pas parce qu’il offre une meilleure technologie, mais parce qu’il garantit la conformité réglementaire.

T-Systems opère simultanément selon deux modèles. La Open Telekom Cloud est une plateforme OpenStack disponible internationalement, avec des clients dans 195 pays, récompensée par un IT-Award-Gold 2025 pour son cloud souverain. Parallèlement, T-Systems exploite en partenariat avec Google un cloud souverain spécifique, où T-Systems agit comme Data Trustee – toutes les données et le contrôle restent soumis au droit allemand. Ce modèle « capacité d’hyperscaler, contrôle allemand » est discuté comme blueprint pour d’autres marchés. T-Systems est également partenaire de l’écosystème européen Copernicus Data Space – le programme européen d’observation de la Terre utilisant une infrastructure cloud allemande.

Le marché du cloud souverain explose

Les chiffres de Gartner (février 2026) illustrent l’ampleur : les dépenses mondiales en cloud souverain IaaS atteindront 80 milliards de dollars en 2026 – une croissance de 35,6 % par rapport à 2025. L’Europe dépasse pour la première fois l’Amérique du Nord en dépenses IaaS souveraines en 2027.

Les chiffres européens en détail : 6,9 milliards de dollars en 2025, 12,6 milliards en 2026 (hausse de 83 %) et 23,1 milliards en 2027. Un triplement en deux ans. Les moteurs sont les tensions géopolitiques, l’incertitude concernant la législation américaine sur le cloud (CLOUD Act) et la stratégie de souveraineté numérique de la Commission européenne.

Pour les fournisseurs cloud allemands, c’est une opportunité historique. Selon le Rapport Cloud Bitkom 2025, le marché du cloud allemand croît de 17 % pour atteindre 20 milliards d’euros. Les investissements dans les centres de données en Allemagne s’élèvent à 12 milliards d’euros rien qu’en 2025. 90 % des entreprises allemandes utilisent des applications cloud – contre 81 % l’année précédente. Et la demande de souveraineté est massive : 82 % souhaitent éviter une dépendance technologique aux fournisseurs cloud américains. 78 % se considèrent toutefois dépendants en pratique. 82 % souhaitent des hyperscalers allemands ou européens. Le titre du rapport Bitkom résume bien : « L’économie réclame un cloud allemand. »

L’écart entre désir et réalité constitue le marché. 82 % veulent un cloud européen, mais seuls quelques fournisseurs européens peuvent offrir la fonctionnalité des hyperscalers américains. C’est précisément là que les modèles allemands interviennent : T-Systems en tant que Data Trustee sur infrastructure Google, STACKIT comme alternative entièrement européenne, et SAP comme cloud souverain sectoriel pour les charges de travail ERP. Aucune approche unique ne couvrira l’ensemble du marché, mais ensemble, elles desservent les principaux segments enterprise.

AWS, Microsoft et Google ont dû obtenir des attestations C5 pour rester compétitifs sur le marché enterprise européen. Une norme de sécurité initialement purement allemande est devenue de facto une condition d’accès au marché cloud européen.

NIS2, Data Act et CRA : le triangle réglementaire

Trois réglementations européennes créent ensemble un environnement qui favorise structurellement les fournisseurs cloud européens.

NIS2 (en vigueur depuis décembre 2025) régule directement les fournisseurs cloud : gestion des risques, déclaration d’incidents, continuité d’activité et sécurité de la chaîne d’approvisionnement sont désormais obligatoires. Les fournisseurs de services cloud desservant des clients KRITIS (infrastructures critiques) entrent automatiquement dans le champ d’application. Le BSI estime à environ 30 000 le nombre d’entreprises concernées – et C5 devient l’instrument privilégié pour démontrer la conformité à NIS2.

L’EU Data Act (en application depuis septembre 2025) vise les barrières à la mobilité des données et protège contre les accès extraterritoriaux. Les fournisseurs cloud doivent garantir que les gouvernements tiers ne peuvent pas accéder aux données de l’UE si cela contredit le droit européen ou national. Le montant des sanctions peut atteindre 4 % du chiffre d’affaires mondial annuel. Pour les fournisseurs soumis à la juridiction du CLOUD Act américain, c’est un problème structurel. Pour les fournisseurs européens disposant d’une attestation C5, c’est un avantage concurrentiel.

Le Cyber Resilience Act (obligations complètes à partir de décembre 2027) exige la sécurité par conception (Security by Design) et l’agilité cryptographique pour tous les produits contenant des éléments numériques. Les logiciels et services basés sur le cloud en font partie. Associé à la migration vers la cryptographie post-quantique, le CRA impose des exigences que seuls les fournisseurs dotés d’une architecture de sécurité profonde peuvent satisfaire.

GAIA-X : du tigre de papier au cadre de confiance

GAIA-X a évolué. La vision initiale d’un « AWS européen » n’a jamais été concrétisée. Ce qui a émergé à la place : un système de certification fonctionnel pour des services cloud fiables. Lors du sommet 2025 à Porto, le Trust Framework 3.0 « Danube » a été publié, permettant des extensions géographiques et sectorielles.

Les progrès réels : cinq fournisseurs (Cloud Temple, Thesee DataCenter, OPIQUAD, OVHcloud et Seeweb) ont obtenu l’étiquette GAIA-X de niveau 3, le plus élevé. CISPE s’est engagé à fournir jusqu’à 3 000 services étiquetés GAIA-X d’ici novembre 2025. Le Manifeste du cloud souverain CISPE, publié en juillet 2025, énonce 5 thèmes et 20 mesures concrètes pour une infrastructure cloud souveraine en Europe.

GAIA-X n’est pas un concurrent des hyperscalers, mais un cadre de confiance (Trust Framework) qui offre aux fournisseurs européens une étiquette de confiance prouvable. Dans un monde où 82 % des entreprises allemandes souhaitent des alternatives cloud européennes, c’est un avantage commercial tangible. Le lien stratégique : la combinaison certification GAIA-X et attestation C5 constitue le package de sécurité cloud européen le plus solide qu’un fournisseur puisse présenter. Pour les entreprises soumises à NIS2 et devant respecter simultanément le RGPD, cette combinaison réduit considérablement la charge de conformité.

Les critiques envers GAIA-X restent fondées : les ambitions initiales n’ont pas été atteintes, la complexité de la gouvernance a freiné les progrès, et la pertinence pour le CIO individuel est limitée. Mais en tant que couche d’infrastructure pour la souveraineté des données dans les secteurs réglementés (santé, finance, administration publique), GAIA-X s’impose de plus en plus comme la norme nécessaire pour satisfaire de manière prouvable aux exigences de conformité européennes.

L’avantage à l’export : pourquoi la sécurité cloud allemande est demandée internationalement

L’attestation C5 illustre le mécanisme : une norme suffisamment stricte pour inspirer la confiance, et assez flexible pour fonctionner internationalement. SecNumCloud (France) est plus strict, mais exclut structurellement les hyperscalers américains – ce qui limite sa portée. FedRAMP (États-Unis) ne s’applique qu’aux contrats gouvernementaux américains. C5 occupe le juste milieu : exigences élevées, applicabilité internationale et neutralité technologique.

Pour des entreprises allemandes comme T-Systems, STACKIT et SAP, cela signifie que leur infrastructure cloud et leur architecture de sécurité sont exportables, car elles reposent sur une norme que les hyperscalers eux-mêmes acceptent. Le modèle T-Systems (technologie d’hyperscaler sous tutelle de données allemande) pourrait devenir un modèle d’exportation pour d’autres pays souhaitant la fonctionnalité cloud sans sacrifier leur souveraineté des données.

L’initiative Made-for-Germany avec un volume d’investissement de 735 milliards d’euros orientera une partie de ces fonds vers l’infrastructure cloud. Et la cascade réglementaire (NIS2, Data Act, CRA, EUCS) crée un marché où la conformité n’est plus un coût, mais un argument de vente. La sécurité cloud « Made in Germany » passe ainsi du statut de protection nationale à celui de produit d’exportation.

En octobre 2025, CISPE a explicitement mis en garde contre les hyperscalers américains qui font de la publicité avec le terme « souveraineté cloud » sans remplir les conditions structurelles. Selon cette position, seule une souveraineté réelle peut être garantie par des fournisseurs ayant leur siège en Europe. Ce n’est pas un débat abstrait, mais cela a des conséquences concrètes : les entreprises soumises à l’EU Data Act doivent s’assurer que leurs fournisseurs cloud n’entraînent pas de risques d’accès extraterritorial aux données. Un fournisseur américain soumis au CLOUD Act ne peut pas offrir cette garantie, même s’il exploite un centre de données à Francfort.

Pour l’économie allemande, cela crée un triple avantage. Premièrement : les fournisseurs cloud allemands bénéficient d’une demande induite par la réglementation (NIS2, Data Act, CRA génèrent un besoin de conformité que les fournisseurs européens peuvent mieux satisfaire). Deuxièmement : le cadre C5 est demandé internationalement en tant que norme d’exportation, car il inspire la confiance sans exclure de technologies. Troisièmement : la combinaison de compétences en recherche (Fraunhofer, BSI), d’infrastructure cloud opérationnelle (T-Systems, STACKIT, SAP) et de rigueur réglementaire (RGPD, NIS2, Data Act) forme un écosystème que nul autre pays européen ne peut offrir dans une telle ampleur. La France dispose de SecNumCloud, mais pas d’un tissu de PME équivalent avec un besoin cloud. Les Pays-Bas ont une solide infrastructure d’hébergement, mais pas de norme de sécurité nationale avec la portée de C5. L’Allemagne possède les deux – et n’a plus qu’à le commercialiser de manière cohérente.

Questions fréquentes

Qu’est-ce que l’attestation BSI-C5 ?

Le Cloud Computing Compliance Criteria Catalogue du BSI (Office fédéral de la sécurité informatique) définit des exigences minimales pour des services cloud sécurisés dans 17 domaines thématiques, avec environ 125 critères individuels. Les attestations Type 2 vérifient l’efficacité constante sur une période définie et sont obligatoires depuis juillet 2025 pour les données de santé.

Quelle est la taille du marché du cloud souverain ?

Selon Gartner, les dépenses mondiales en cloud souverain IaaS atteindront 80 milliards de dollars en 2026. Les dépenses européennes tripleront, passant de 6,9 milliards de dollars (2025) à 23,1 milliards (2027). L’Europe dépassera pour la première fois l’Amérique du Nord en 2027.

Quels fournisseurs cloud allemands disposent d’attestations C5 ?

IONOS, PlusServer, q.beyond AG et STACKIT (Schwarz Digits) figurent parmi les fournisseurs allemands certifiés. AWS, Microsoft Azure et Google Cloud ont également obtenu des attestations C5 pour rester compétitifs sur le marché européen.

Quelle est la différence entre C5, FedRAMP et SecNumCloud ?

C5 (BSI/Allemagne) est technologiquement neutre et exportable internationalement. FedRAMP (États-Unis) s’applique uniquement aux contrats gouvernementaux américains. SecNumCloud (ANSSI/France) est le plus strict, mais exclut structurellement les hyperscalers américains. C5 se positionne au milieu : exigences élevées avec une large applicabilité.

GAIA-X est-il encore actif ?

Oui, mais avec un champ d’action plus réaliste qu’au lancement. GAIA-X n’est pas un concurrent des hyperscalers, mais un cadre de confiance et un système de certification. Le Trust Framework 3.0 « Danube » a été publié fin 2025. Cinq fournisseurs ont obtenu l’étiquette de niveau 3, le plus élevé. CISPE s’est engagé à fournir 3 000 services étiquetés.

Pour aller plus loin

Source de l’image : Pexels / Panumas Nikhomkhai (px:1148820)

Imprimer l'article
Tobias Massow

À propos de l'auteur: Tobias Massow

Plus d'articles de

Aussi disponible en

EspañolEnglishDeutsch

Lire l'article

Un magazine de Evernine Media GmbH