Le BSI définit les critères de souveraineté technique du cloud : le catalogue C3A établit des normes contraignantes

Auteur : heise.de Source : heise.de Date de publication : 27.04.2026

Mode rédactionnel : CLARUS_ANALYSIS Recommandation d'indexation : INDEX Langue/Rôle : FULL_ANALYSIS Date de vérification des faits : 2026

Résumé

L'Office fédéral allemand pour la sécurité de la technologie de l'information (BSI) a publié avec les « Criteria Enabling Cloud Computing Autonomy » (C3A) un catalogue qui définit quand une solution cloud est techniquement souveraine. Les critères abordent les dépendances vis-à-vis des fournisseurs de cloud non-européens comme AWS, Azure ou Huawei et définissent des exigences concrètes pour une infrastructure sécurisée et indépendante. Le catalogue C3A s'appuie sur les critères de sécurité C5 existants et devrait influencer le débat autour de la proposition de la Commission européenne « Cloud and AI Development Act » (CADA), prévue pour mai 2026. Le BSI s'appuie sur l'expérience de projets tels que DelosCloud, Stackit et le Sovereign Cloud de T-Systems.

Personnes

• Thomas Caspers (Vice-président du BSI)
• Martin Bierwirth (Chef de département Sécurité du cloud BSI)
• Henna Virkkunen (Vice-présidente de l'UE)

Thèmes

• Sécurité du cloud et souveraineté numérique
• Indépendance informatique européenne
• Conformité et réglementation
• Infrastructures critiques

Clarus Lead

L'initiative C3A répond à une pression stratégique : la proposition prévue du CADA par la Commission européenne en mai 2026 clarifiera une question définitoire européenne qui était jusqu'à présent politiquement vague. Le BSI se positionne avec une proposition techniquement viable pour structurer concrètement le débat réglementaire à venir – et ainsi potentiellement façonner les exigences pour l'administration publique, les infrastructures critiques et la défense au niveau européen. Parallèlement, la France teste avec l'ANSSI une approche nationale dans laquelle les entreprises françaises sont obligatoirement impliquées ; l'approche allemande C3A vise quant à elle des normes européennes avec des profils d'application échelonnés.

Résumé détaillé

La C3A concrétise la souveraineté en quatre dimensions. Le découplage technique devient clair avec le critère SOV-4-09-C : les opérateurs de cloud doivent maintenir l'exploitation en cas de déconnexion (déconnexion du système non-européen), sans compromettre la disponibilité, l'intégrité ou la confidentialité. Cela doit être documenté et testé au moins une fois par an. L'exigence renforcée SOV-4-09-AC exige en outre la divulgation de la documentation aux autorités locales de sécurité informatique.

Les exigences juridiques et personnelles sont également échelonnées. Le critère SOV-4-01-C1 exige la citoyenneté de l'UE et la résidence dans l'UE pour tous les employés ayant un accès logique ou physique. La variante renforcée SOV-4-01-C2 limite cela à la résidence en République fédérale – pertinent pour les zones hautement sécurisées comme les agences de sécurité ou la Bundeswehr. Les fournisseurs ne peuvent être soumis à aucune juridiction extérieure à l'UE ; le lieu des activités d'entretien informatique est également réglementé.

La préparation aux cas de défense est nouvelle dans les catalogues de cloud européens. La C3A définit que les opérateurs doivent remettre l'exploitation, y compris le matériel et le personnel, aux autorités fédérales en cas de défense régi par la Loi fondamentale. Le BSI n'a pas de compétence légale directe à ce sujet, mais prépare des scénarios types.

Chemin d'implémentation : Les C3A ne sont pas directement contraignants, mais peuvent devenir des exigences minimales par la législation ou les appels d'offres. Ils complètent le catalogue de sécurité C5 déjà juridiquement contraignant et s'appuient sur la protection de base informatique ainsi que la brique OPS 2.2. Pour les autorités fédérales, la norme minimale pour l'utilisation de services cloud externes (MST-NCD) est déjà obligatoire – la C3A élargira cette obligation.

Points clés

• Le BSI crée avec la C3A un cadre de référence contraignant pour la souveraineté du cloud, reliant la sécurité technique (C5) aux exigences d'indépendance
• Des critères concrets abordent la sécurité de déconnexion, les restrictions personnelles à l'UE et les scénarios de cas de défense
• Le catalogue se positionne stratégiquement avant la proposition de la Commission européenne du CADA (mai 2026) et pourrait façonner la réglementation européenne
• Les hyperscalers comme AWS ou Azure peuvent partiellement satisfaire aux exigences de la C3A ; un découplage complet ne sera pas réalisable de manière continue pendant plusieurs années

Questions critiques

1. Preuves/Qualité des données : Sur quels tests techniques et scénarios critiques les critères de déconnexion (SOV-4-09-C) s'appuient-ils concrètement ? Comment l'intervalle de sécurité du « test au minimum annuel » a-t-il été validé ?

2. Conflits d'intérêts : Le BSI a parlé avec des fournisseurs (AWS, Schwarz-Digits, SAP) lors du développement de la C3A – comment la neutralité a-t-elle été garantie vis-à-vis des grands fournisseurs et des alternatives des petites et moyennes entreprises ?

3. Causalité/Alternatives : Une infrastructure cloud peut-elle vraiment opérer pendant plusieurs années complètement découplée des systèmes d'opérateurs américains, ou les dépendances masquées (mises à jour logicielles, correctifs de sécurité) sapperont-elles l'autonomie ?

4. Faisabilité : Quels fournisseurs de cloud allemands ou européens satisfont déjà à l'exigence SOV-4-01-C2 (résidence en République fédérale pour tous les employés) ? À quel point cette exigence est-elle réaliste pour l'évolutivité ?

5. Risque réglementaire : Si l'UE adopte le CADA sans référence à la C3A, le catalogue allemand perd sa force contraignante – comment le BSI envisage-t-il de gérer cette divergence ?

6. Juridiction : La C3A exclut la juridiction non-européenne – s'applique-t-elle également aux structures de holding avec des filiales européennes ou uniquement au contrôle opérationnel ?

Références bibliographiques

Source primaire : Le BSI définit quand un cloud est vraiment souverain – https://www.heise.de/news/BSI-definiert-wann-eine-Cloud-wirklich-souveraen-ist-11272737.html (Heise Online, Auteur : Falk Steiner)

Statut de vérification : ✓ 2026

Ce texte a été créé avec le soutien d'un modèle d'IA. Responsabilité éditoriale : clarus.news | Vérification des faits : 2026