La souveraineté des données n’est plus seulement une question discutée en cabinets juridiques ou en comités de conformité. En 2026, avec le ransomware devenu un risque opérationnel majeur et le cloud devenant une composante structurante de la majorité des architectures, la question s’est rendue plus concrète : qui contrôle l’endroit où réside la donnée, qui opère l’environnement et qui détient les clés du chiffrement en cas de crise ? Sur cette base, Commvault annonce Commvault Geo Shield, une solution conçue pour protéger et récupérer des informations critiques tout en maintenant le contrôle sur la localisation des données, l’exploitation des environnements et la gestion des clés.
Spécialisée dans la sauvegarde, la récupération et la cyberrésilience, la société présente Geo Shield comme la réponse à un phénomène de plus en plus fréquent dans les entreprises et les administrations : migrer des charges vers le cloud sans renoncer aux exigences de résidence des données, de contrôle opérationnel, de limitations du support transfrontalier et, surtout, de gouvernance du chiffrement. Dans les secteurs réglementés, la capacité à récupérer ne suffit pas si le design ne garantit pas que le processus de restauration ne viole pas les règles en vigueur.
Dissocier “qui commande” de “où se trouve la donnée”
Au cœur de cette annonce, un concept technique simple mais stratégique : Geo Shield de Commvault repose sur une architecture qui sépare le plan de contrôle du plan de données. L’objectif : donner à chaque organisation la possibilité de choisir où la donnée est stockée, comment elle est protégée, et qui contrôle l’accès, que ce soit dans des environnements exploités par le client ou par des partenaires locaux.
Pour les responsables systèmes et sécurité, cette séparation vise un objectif clair : éviter toute dépendance opérationnelle indésirable. Dans certains contextes — par exemple, des environnements avec obligation d’“absence de signalement” ou en déléguant l’exploitation à des partenaires nationaux — la gestion à distance et les flux de télémétrie peuvent poser des problèmes contractuels ou réglementaires. Geo Shield intègre explicitement ces limites : fonctionner “dans les frontières”, avec des conditions d’exploitation gérées par des partenaires locaux vérifiés.
Quatre modes de déploiement : du SaaS régionalisé à l’approche souveraine “privée”
Commvault présente Geo Shield comme un cadre adaptable à divers modèles de déploiement, répondant à des besoins spécifiques de souveraineté et de conformité qui varient selon les pays et les secteurs. Voici quatre options détaillées :
- SaaS Commvault dans des régions locales hyper-évolutives, lorsque cela est possible, pour respecter les exigences de résidence.
- SaaS Commvault dans des régions souveraines hyper-évolutives, avec un support initial pour des environnements comme AWS European Sovereign Cloud et des plans d’extension à d’autres régions souveraines.
- Offres souveraines gérées par des partenaires, permettant à des fournisseurs locaux qualifiés de proposer des services souverains nationaux ou régionaux via un logiciel Commvault avec une protection air-gapped (isolation physique ou logique).
- Déploiements souverains privés, en environnement dédié, opérés par le client ou ses partenaires désignés.
Ce modèle reflète une réalité du marché : la souveraineté n’est pas binaire. De nombreuses organisations gèrent des données et des charges aux niveaux de sensibilité variés, avec une architecture hybride intégrée par conception.
Clés sous contrôle du client : BYOK, HYOK et HSM
Un point récurrent dans les discussions sur la cyberrésilience dans les contextes réglementés est le contrôle du chiffrement. Geo Shield met en avant les modèles Bring Your Own Key (BYOK) et Hold Your Own Key (HYOK), ainsi que l’intégration avec des modules de sécurité matérielle (HSM) gérés par le client ou ses partenaires.
Concrètement, cela vise à réduire le risque de dépendance au fournisseur et à faciliter l’application de politiques internes : la gestion des clés ne doit pas être déléguée, sauf dans des cas très maîtrisés. En cas de récupération après incident, cette différenciation peut déterminer si une organisation peut restaurer ses services sans difficulté ou si elle est bloquée par des contraintes réglementaires ou opérationnelles.
L’enjeux européen : cloud souverain et exigences réglementaires
Commvault ne masque pas le contexte : la demande pour des options souveraines croît parallèlement à l’adoption du cloud. En Europe, cette tendance est renforcée par des cadres comme NIS2 et DORA, qui renforcent les attentes en matière de gestion des risques, de résilience et de continuité dans plusieurs secteurs. La société souligne qu’elle est déjà conforme à un large panel de standards, tels que FedRAMP High, FIPS 140-3 et GovRAMP, ainsi que des référentiels sectoriels comme HIPAA ou PCI DSS v4.0, avec des références explicites à DORA et NIS2.
La mention de AWS European Sovereign Cloud est également stratégique : AWS a annoncé la disponibilité générale de sa cloud souverain européenne, avec une infrastructure séparée physiquement et logiquement en UE, débutant en Brandebourg (Allemagne) et prévoyant une extension via des « Local Zones » souveraines en Belgique, Pays-Bas, Portugal, etc. En décembre 2025, Commvault était déjà partenaire de lancement pour cette région, et Geo Shield s’inscrit dans cette stratégie.
Disponibilité et prochaines étapes
Commvault précise que la sortie de modèles complémentaires de Geo Shield sera annoncée séparément, selon les délais d’implémentation avec ses partenaires et les régions concernées. Pour les clients, cela se traduit par une feuille de route où le « quoi » (les modes de souveraineté) est défini, mais le « quand » dépend de la mise en œuvre opérationnelle et commerciale locale ainsi que de la maturité de l’écosystème de partenaires.
Dans un contexte où le ransomware oblige à envisager des stratégies de récupération pragmatiques, Geo Shield vise un segment précis : les organisations souhaitant bénéficier du cloud et de l’innovation tout en conservant la maîtrise de l’exploitation, de la résidence et du chiffrement.
Questions fréquentes
Quel problème Commvault Geo Shield cherche-t-il à résoudre dans les environnements réglementés ?
Permettre une cyberrésilience et une récupération efficaces tout en conservant le contrôle sur l’emplacement des données, l’exploitation des environnements et la garde des clés de chiffrement.
Que signifie “no call home” et pourquoi est-ce crucial pour la souveraineté des données ?
Cela implique d’opérer sans dépendance critique à la télémétrie ou à la gestion via des services externes. Dans certains secteurs, cela limite l’exposition aux risques et facilite la conformité en maintenant une exploitation sous contrôle local.
BYOK et HYOK, sont-ils identiques ?
Non. BYOK permet d’apporter ses propres clés dans un cadre géré, tandis que HYOK pousse le contrôle plus loin en conservant la garde totale des clés, généralement via des HSM et en évitant leur délégation à des tiers.
Quelles organisations tirent le plus profit d’une approche comme Geo Shield ?
Les administrations publiques, les secteurs financier, médical, industriel critique, ainsi que les entreprises ayant des exigences strictes de résidence des données, de contrôle opérationnel et d’audit en cas d’incidents de cybersécurité.
via : commvault
