Forrester Wave cloud souverain 2026 : de niche à stratégie centrale

Infrastructure cloud souverain européen évaluée par Forrester Wave 2026
Share on Pinterest Share on LinkedIn

Le cloud souverain vient de franchir la ligne qui sépare le marché de niche du pilier stratégique. Dans son nouveau rapport The Forrester Wave : Plateformes de Cloud Souverain, T2 2026, le cabinet d’analystes américain évalue quinze fournisseurs et acte ce que les directions techniques françaises pressentaient depuis dix-huit mois : la souveraineté numérique n’est plus une case à cocher pour le régalien, c’est un critère d’architecture pour toutes les charges de travail sensibles. Et le classement, comme on va le voir, n’épargne personne — ni les hyperscalers américains, ni les champions européens.

Ce basculement s’opère dans un contexte réglementaire européen sans précédent : Cloud Act américain étendu, règlement DORA en vigueur pour la finance, transposition achevée de NIS2, arrivée imminente du Cyber Resilience Act. Autant de textes qui rendent la question du cloud souverain Forrester brûlante pour les DSI et RSSI français.

Ce que dit la Forrester Wave 2026

Le message central du rapport tient en une phrase : il n’existe pas un cloud souverain, mais des architectures souveraines qu’il faut composer en fonction du niveau d’exposition juridique, du secteur et du profil de risque. Forrester a passé au crible quinze fournisseurs majeurs sur plus de trente critères et les distribue en trois familles. Les Leaders : Google Cloud, Microsoft, Amazon Web Services, Oracle et Tencent Cloud. Les Strong Performers (acteurs performants) : T-Systems, STACKIT, NxtGen Cloud Technologies et SAP. Les Challengers : Aruba, S3NS, IBM, Vultr, OVHcloud et Huawei Cloud.

Le résultat surprend. Les hyperscalers américains trustent la tête du classement alors même que leur exposition au Cloud Act reste le principal argument des détracteurs de la souveraineté. La lecture fine du rapport explique ce paradoxe : Forrester ne note pas l’origine du fournisseur, mais sa capacité à proposer un catalogue de modèles de déploiement souverain — public restreint, région dédiée, instance opérée par un tiers local, environnement déconnecté. Or sur ce terrain, les hyperscalers ont investi massivement depuis 2023.

Les critères évalués par Forrester

L’évaluation repose sur quatre dimensions techniques et juridiques que tout DSI devrait intégrer à sa grille d’analyse cloud. Elles dépassent largement la simple question « mes données sont-elles en Europe ? ».

Isolement juridique

C’est le critère le plus délicat et le plus politique. Forrester examine la structure capitalistique du fournisseur, la juridiction applicable à l’entité opératrice, la portée du Cloud Act ou de ses équivalents, et la capacité réelle du client à opposer un refus à une injonction extraterritoriale. Un service hébergé à Francfort mais opéré par une filiale de droit américain ne passe pas cette barrière. C’est précisément pour contourner ce point que Microsoft s’appuie sur Bleu en France et Delos Cloud en Allemagne, et que Google a monté la coentreprise S3NS avec Thales.

Chiffrement et gestion des clés

Le standard attendu en 2026 n’est plus le simple chiffrement au repos. Forrester évalue le BYOK (Bring Your Own Key), le HYOK (Hold Your Own Key) avec séparation matérielle des HSM, la possibilité d’externaliser les clés hors de l’infrastructure du fournisseur, et le support de schémas de chiffrement confidentiel des traitements en mémoire. Sur ce critère, Oracle et Google prennent de l’avance, AWS progresse avec Nitro Enclaves, et les acteurs européens affichent des niveaux hétérogènes.

Localisation et résidence des données

La résidence des données reste un prérequis, pas un différenciateur. Le rapport va plus loin : il regarde où sont stockés les métadonnées d’exploitation, les logs de support, les sauvegardes, les répliques géographiques imposées par la résilience. Beaucoup d’offres « souveraines » laissent fuiter des télémétries vers des régions non européennes — un point que la Forrester Wave sanctionne.

Autonomie opérationnelle

Peut-on exploiter la plateforme si le fournisseur cesse brutalement de fournir le service, pour cause de sanctions, de conflit géopolitique ou de décision corporate ? Forrester évalue la capacité à continuer à opérer en mode isolé pendant plusieurs mois, l’accès au personnel local habilité, la chaîne d’approvisionnement matérielle et l’existence de procédures de reversibilité documentées. C’est sur ce critère que les offres purement européennes comme OVHcloud ou STACKIT marquent des points réels.

Le classement commenté : Leaders, Strong Performers, Challengers

Google Cloud sort en tête du quadrant. Le géant de Mountain View aligne aujourd’hui Google Cloud Dedicated, une offre air-gapped pour environnements déconnectés, des contrôles de résidence granulaires sur le cloud public et surtout la coentreprise S3NS avec Thales, qui vise la qualification SecNumCloud fin 2026. L’argument commercial tient en un mot : accéder aux services d’IA avancés sans renoncer au contrôle juridique.

Microsoft mise sur une stratégie de partenariats locaux à grande échelle. Bleu en France (coentreprise Capgemini-Orange), Delos Cloud en Allemagne (SAP Arvato Systems), et un catalogue Azure qui se cantonne aux services qualifiables. La faiblesse pointée par Forrester : la dépendance fonctionnelle à Microsoft 365 et Entra ID rend la souveraineté d’infrastructure partielle tant que la productivité reste dans le cloud public Microsoft.

AWS a dégainé en 2026 son European Sovereign Cloud, avec une première région en Brandebourg opérée par une entité juridique allemande distincte, un personnel local et une gouvernance isolée du reste d’AWS. Le pari est ambitieux mais le catalogue reste à étoffer — tous les services AWS ne sont pas encore disponibles en mode souverain.

Oracle bénéficie d’une trajectoire particulière grâce à OCI Dedicated Region, Oracle Alloy et les déclinaisons Exadata Cloud@Customer. L’approche permet littéralement de déployer la région Oracle chez le client, ce qui séduit banques, administrations et santé. Tencent Cloud, seul leader non occidental, domine la zone Asie-Pacifique mais reste absent des shortlists européennes pour des raisons géopolitiques évidentes.

Parmi les Strong Performers, T-Systems conserve sa position historique en DACH avec Open Sovereign Cloud, tandis que STACKIT, porté par le groupe Schwarz, monte en puissance avec un modèle tarifaire transparent et une implantation allemande stricte. SAP joue la carte Sovereign Cloud pour ses propres charges ERP. Chez les Challengers, la présence d’OVHcloud et S3NS traduit une réalité dure : l’étendue du catalogue pèse lourd dans la notation Forrester, et les champions européens n’égalent pas encore la profondeur fonctionnelle des hyperscalers sur l’IA générative managée ou les bases de données globales.

Pourquoi ça s’accélère maintenant : Cloud Act, DORA, NIS2, CRA

Le calendrier n’est pas un hasard. Quatre textes entrent pleinement en application en 2025-2026 et transforment la souveraineté en obligation juridique opposable, pas en plaidoyer politique.

Le Cloud Act américain, dans sa version étendue, permet toujours aux autorités américaines de réclamer des données à un fournisseur de droit américain, où que ces données soient physiquement stockées. Les décisions de justice récentes ont confirmé la portée extraterritoriale du dispositif, rendant caduque la défense du « mes données sont en Europe ».

DORA (Digital Operational Resilience Act) s’applique depuis janvier 2025 à l’ensemble du secteur financier européen. Le texte impose la cartographie précise des dépendances cloud, la capacité à quitter un fournisseur critique sous un délai contraint, et des tests de résilience incluant des scénarios de défaillance géopolitique. Conséquence directe : les banques françaises ont rouvert 2026 en auditant systématiquement leur exposition aux hyperscalers non européens.

NIS2, transposée en France via la loi de décembre 2024, élargit massivement le périmètre des entités essentielles et importantes. Des milliers d’entreprises françaises découvrent qu’elles doivent désormais documenter leurs chaînes de dépendance numérique et notifier les incidents sous 24 heures. Le Cyber Resilience Act (CRA), applicable pleinement fin 2027 mais déjà structurant dans les appels d’offres, ajoute une couche de conformité produit sur tout ce qui est « élément numérique ».

Cet empilement explique pourquoi la France accélère son investissement dans la souveraineté numérique et pourquoi les RFP d’administrations exigent désormais systématiquement une qualification SecNumCloud ou équivalent.

Enjeux pour les DSI français et européens

Le rapport Forrester envoie un message inconfortable aux directions informatiques : la souveraineté ne se décide plus au niveau d’un contrat-cadre unique, mais au niveau de chaque charge de travail. Un ERP financier, une base santé, une application administrative, un environnement de R&D sur l’IA n’ont pas les mêmes exigences ni les mêmes compromis acceptables.

Pour les DSI, trois chantiers prioritaires émergent du rapport. Premièrement, cartographier la dépendance fonctionnelle, pas seulement l’infrastructure : un basculement d’Azure vers un cloud souverain ne règle rien si Microsoft 365 et Entra ID restent le socle d’identité. Deuxièmement, segmenter les workloads par profil de risque : réserver les architectures les plus isolées aux données régulées, accepter le cloud public restreint pour les charges moins sensibles. Troisièmement, exiger la réversibilité contractuelle — clauses de sortie, formats de données ouverts, portabilité documentée — une exigence que la résilience cyber souveraine rend désormais indispensable.

Autre enseignement : la souveraineté coûte cher. Une région souveraine opérée par un tiers local affiche des prix de 20 à 40 % supérieurs au cloud public équivalent, selon les estimations recoupées par plusieurs cabinets. L’arbitrage devient une équation entre coût, vitesse d’innovation et niveau de risque juridique — un dilemme que les COMEX doivent désormais trancher explicitement, car la tendance réglementaire ne leur laisse plus le confort de l’ambiguïté.

Enfin, la Forrester Wave 2026 consacre une évidence : le cloud souverain ne sera pas gagné par un seul acteur. Il sera composite, multi-fournisseurs, architecturé charge par charge. C’est une bonne nouvelle pour les intégrateurs et les ESN françaises, dont l’expertise devient structurellement stratégique. C’est une alerte pour les entreprises qui pensaient régler la question par un avenant contractuel.

Questions fréquentes

Qu’évalue exactement la Forrester Wave Plateformes de Cloud Souverain T2 2026 ?

Elle note quinze fournisseurs sur plus de trente critères regroupant l’isolement juridique, le chiffrement et la gestion des clés, la localisation des données et métadonnées, et l’autonomie opérationnelle. Le résultat classe les acteurs en Leaders, Strong Performers et Challengers, sans préjuger de leur pertinence pour un cas d’usage donné.

Pourquoi les hyperscalers américains sont-ils Leaders malgré le Cloud Act ?

Parce que Forrester évalue la capacité à proposer un catalogue de modèles souverains, et que Google, Microsoft et AWS ont massivement investi dans des coentreprises locales (S3NS, Bleu, Delos) et des régions souveraines opérées par des entités européennes distinctes. Le Cloud Act reste un risque, mais il est juridiquement atténué par ces montages.

Pourquoi OVHcloud n’est-il pas classé Leader ?

Le champion français obtient de très bons scores sur l’autonomie opérationnelle et l’indépendance juridique, mais Forrester pénalise la profondeur fonctionnelle moindre de son catalogue face aux hyperscalers, notamment sur l’IA générative managée et les services PaaS avancés. La position Challenger ne signifie pas faiblesse globale, mais reflet d’une grille qui valorise l’étendue du catalogue.

DORA, NIS2 et CRA rendent-ils le cloud souverain obligatoire ?

Aucun de ces textes n’impose stricto sensu un cloud souverain. Ils imposent la cartographie des dépendances, la capacité de sortie, la résilience opérationnelle et la notification d’incidents. Mais en pratique, ces exigences rendent très difficile l’usage d’un cloud public non européen pour les charges critiques, ce qui revient à orienter le marché vers des architectures souveraines.

Quel impact sur les DSI français en 2026 ?

Les DSI doivent désormais segmenter leurs workloads par profil de risque, documenter chaînes de dépendance fonctionnelle et non seulement d’infrastructure, et exiger la réversibilité contractuelle. Le coût supplémentaire d’une architecture souveraine (20 à 40 %) devient un arbitrage COMEX, plus un débat technique.

Share on Pinterest Share on LinkedIn

Info Cloud

le dernier

Cadence et Intel Foundry s’associent pour accélérer le nœud Intel 14A

Apple élargit Private Cloud Compute avec des GPU NVIDIA sur Google Cloud

DeepSeek croît dans les entreprises américaines et relance le débat sur les données et l’IA bon marché

Microsoft réduit les emplois d’Azure en Chine et le cloud perd de sa neutralité

Osiris amène l’OSINT en temps réel sur GitHub, mais ouvre aussi un débat sur la sécurité

Fastly et Skyfire apportent l’identité et les paiements des agents IA à l’edge