Passer au contenu

La dépendance cloud est-elle devenue un risque stratégique ?

Picture of Laure DUPIN

Les directions informatiques ont massivement adopté le cloud pour sa flexibilité et son échelle. Mais cette dépendance croissante soulève une question stratégique : le cloud est-il en train de devenir un point de fragilité majeur pour l’entreprise ? La résilience opérationnelle, la sobriété numérique et l’impact climatique, ainsi que les risques contractuels et réglementaires, sont au cœur du débat.

Le cloud et l’enjeu de la résilience

L’avènement du cloud n’a pas éliminé les pannes : il a plutôt changé leur nature et leur portée. Lorsque qu’un fournisseur cloud subit une interruption, les répercussions peuvent être systémiques. Les données montrent que la fréquence et le coût des incidents restent élevés. Par exemple, plus des deux tiers des pannes critiques entraînent des pertes supérieures à 100 000 $[1]. De surcroît, les infrastructures numériques externalisées (fournisseurs cloud, hébergeurs, télécoms…) sont désormais à l’origine d’une part croissante des interruptions de service[2]. Autrement dit, plus les DSI s’appuient sur ces services mutualisés, plus un incident chez un prestataire peut paralyser de multiples clients simultanément.

Les récentes grandes interruptions confirment cette tendance. Selon un rapport spécialisé, le nombre d’interruptions majeures chez les trois principaux clouds publics a augmenté de 18 % en 2024 par rapport à l’année précédente, et leur durée moyenne s’est allongée de près de 19 %[3]. Six incidents critiques ont même dépassé les dix heures d’arrêt, totalisant près de cent heures d’indisponibilité cumulée[4]. Des pannes emblématiques – telle l’interruption globale d’un service de cybersécurité en juillet 2024 ou la défaillance électrique d’un data center cloud en Europe – ont illustré les risques systémiques pour des entreprises désormais dépendantes de chaînes numériques externes[5]. Ces chiffres soulignent que la résilience n’est pas acquise : l’hyperscaler lui-même peut devenir le single point of failure. Les DSI doivent donc intégrer dans leur stratégie que l’indisponibilité d’un fournisseur cloud, même ponctuelle, peut engendrer des pertes d’exploitation lourdes et ternir la confiance des clients.

Sobriété numérique et impact climatique

La dépendance au cloud pose également la question de la sobriété numérique et de l’empreinte environnementale. L’essor du cloud s’accompagne d’une explosion des besoins en calcul et en stockage, avec un impact énergétique significatif. À l’échelle mondiale, le secteur du numérique représente environ 3 % des émissions de gaz à effet de serre – soit un poids supérieur à celui de l’aviation – et les centres de données à eux seuls concentrent environ 1 % de la consommation électrique mondiale (200 à 250 TWh)[6]. Sans inflexion, cette proportion pourrait grimper jusqu’à 10 % des émissions globales d’ici une décennie[6]. Le cloud computing participe de cette empreinte, notamment via la construction de toujours plus de data centers énergivores et la prolifération de ressources surdimensionnées ou sous-utilisées.

Face à cet enjeu, les régulateurs et décideurs publics commencent à réagir. L’Arcep, par exemple, appelle à mieux maîtriser « l’empreinte environnementale du numérique » en orientant les investissements vers des data centers plus efficaces et durables[7]. De même, au niveau européen, des référentiels d’écoconception et de sobriété (services numériques frugaux, IA « légères ») sont encouragés pour contenir l’emballement énergétique[8].

Du côté des entreprises, cette quête de sobriété rejoint souvent des objectifs financiers. La discipline du FinOps (optimisation des coûts du cloud) révèle une convergence naturelle avec la durabilité (GreenOps) : l’optimisation des ressources cloud va de pair avec la réduction des usages superflus, ce qui diminue d’autant les dépenses inutiles et les émissions carbone associées[9]. En rationalisant les infrastructures – extinction des instances non utilisées, choix d’architectures moins gourmandes, optimisation du code – les DSI peuvent réaliser des économies substantielles tout en réduisant leur empreinte carbone. La dépendance au cloud n’est donc pas uniquement un risque technique ; elle interpelle aussi sur la responsabilité climatique de l’entreprise et sur la nécessité d’une gouvernance plus sobre des ressources numériques.

Verrouillage fournisseur, risques contractuels et souveraineté

Sur le plan stratégique et contractuel, la domination de quelques grands acteurs du cloud suscite des inquiétudes croissantes. L’Europe, en retard d’investissement, est aujourd’hui massivement dépendante des solutions américaines dans le cloud. Cette dépendance s’accompagne de phénomènes de verrouillage du marché par quelques hyperscalers qui multiplient les barrières pour enfermer leurs utilisateurs dans leurs écosystèmes[10]. Concrètement, s’engager à fond avec un fournisseur unique peut limiter drastiquement la flexibilité de l’entreprise et la liberté de changer de prestataire. Les frais de sortie élevés, les contrats de longue durée et les architectures propriétaires rendent tout projet de migration complexe et coûteux[11]. Le verrouillage est à la fois technique (dépendance à des services et API propriétaires), financier (rabais tarifaires conditionnés à l’ampleur des volumes, coûts d’extraction de données) et organisationnel (compétences internes modelées sur une plateforme donnée). Dès lors, un choix cloud mal maîtrisé peut se transformer en carcan : l’entreprise subit les hausses de prix, les changements unilatéraux de service ou les baisses de qualité sans échappatoire facile[12].

Les autorités de régulation en sont conscientes. En France, l’Arcep et l’Autorité de la concurrence ont récemment souligné les risques de verrouillage, d’augmentation des prix et de baisse de qualité de service sur le marché du cloud[12]. Au niveau européen, le Data Act adopté en 2022 impose bientôt des obligations de portabilité des données et des services, afin de réduire les barrières au changement de fournisseur et d’atténuer le coût de la sortie d’un cloud pour aller vers un autre[12]. De même, la loi française SREN confie à l’Arcep le soin de promouvoir l’interopérabilité et la portabilité effectives entre plateformes cloud[13][14]. L’objectif affiché de ces textes est clair : redonner du pouvoir aux clients face aux fournisseurs, et éviter qu’un oligopole du cloud ne devienne un risque systémique pour l’innovation et la compétitivité.

Un autre aspect critique de la dépendance cloud touche à la souveraineté des données et à la conformité réglementaire. Beaucoup d’organisations hébergent des données sensibles (personnelles, santé, défense, etc.) dans le cloud. Or, si le prestataire est soumis à des lois extra-européennes, un risque juridique existe : les données confiées pourraient devoir être communiquées aux autorités étrangères, en application de lois telles que le Cloud Act américain[15]. Ce risque est jugé acceptable pour des données banales, mais devient stratégique pour des informations critiques. La CNIL recommande ainsi, pour les données les plus sensibles, de recourir à des prestataires exclusivement soumis au droit européen[16] – en France, la certification SecNumCloud de l’ANSSI intègre justement des garanties contre l’accès par des législations extérieures. Faute de telles précautions, une entreprise pourrait voir ses données exposées à des injonctions légales d’un État tiers, ou se retrouver en infraction vis-à-vis du RGPD. La dépendance au cloud recouvre donc aussi un risque juridique et politique, notamment si l’on perd la maîtrise de qui peut accéder aux données hébergées.

Des leviers de mitigation concrets et réalistes

Faut-il pour autant renoncer au cloud ? Pas forcément: ses bénéfices restent intéressants. En revanche, il est impératif d’encadrer la dépendance par des stratégies de mitigation mûrement réfléchies. D’abord, beaucoup d’entreprises explorent des approches multicloud ou hybrides, évitant de « mettre tous les œufs dans le même panier ». L’idée n’est pas de complexifier gratuitement les SI, mais de répartir les charges critiques entre plusieurs environnements pour limiter l’impact d’une défaillance majeure. Des architectures distribuées intégrant du cloud public, du cloud privé et même de l’edge computing peuvent renforcer la résilience tout en améliorant la latence et en réduisant certaines dépendances centralisées[17]. L’edge, par exemple, apporte un traitement plus proche de la source de données, diminuant les transferts massifs et contournant les goulots d’étranglement d’un cloud unique[18].

Ensuite, il est possible d’anticiper la portabilité dès la conception des applications. Concrètement, cela signifie concevoir des systèmes dès le départ ouverts et “portables”[19]. Standardiser les composants (formats de données, conteneurs, APIs ouvertes), séparer strictement les données de la logique applicative, et utiliser des orchestrateurs agnostiques du cloud permet de conserver une liberté de mouvement. De telles bonnes pratiques réduisent l’enracinement dans un écosystème propriétaire. En limitant l’usage de services trop spécifiques à un fournisseur et en évitant de stocker des volumes astronomiques sans plan de sortie, on peut atténuer le coût du changement. Par ailleurs, sélectionner des partenaires cloud en fonction de critères de transparence contractuelle (clarté sur les frais de sortie, réversibilité) et d’interopérabilité réelle est un levier de négociation important[20]. Les DSI les plus avisés examinent désormais ces clauses avec attention avant de s’engager, conscients qu’un beau contrat peut devenir un piège à moyen terme si la liberté en est absente.

Enfin, la gouvernance interne joue un rôle clé. L’adoption d’une démarche GreenFinOps robuste aide à garder la maîtrise financière et technique du cloud. En surveillant de près les usages, les coûts et la performance, l’entreprise conserve la main sur son footprint numérique. Cela permet d’éviter l’emballement des dépenses et de détecter les signes d’une dépendance excessive (par exemple lorsqu’une seule plateforme concentre l’essentiel des données et des processus critiques). Couplée à une stratégie Cloud Center of Excellence ou à des cellules architecture, la gouvernance GreenFinOps favorise des choix équilibrés entre valorisation des atouts du cloud et contrôle des risques inhérents.

Une dépendance à maîtriser stratégiquement

La dépendance au cloud est aujourd’hui un paramètre structurant de l’architecture des systèmes d’information. Elle ne constitue ni un risque en soi, ni une garantie de performance. Elle reflète un choix d’organisation, avec ses avantages opérationnels et ses fragilités intrinsèques. Le recours au cloud permet une élasticité et une accélération dans certains cas d’usage, mais induit aussi des zones d’opacité, des effets de verrouillage et une sensibilité accrue aux évolutions contractuelles, réglementaires ou climatiques.

Dès lors, l’enjeu pour les DSI n’est pas d’amplifier indéfiniment leur exposition, mais de retrouver des marges de manœuvre : en évitant les concentrations critiques, en évaluant les impacts de sortie, en documentant les chemins de réversibilité, et surtout en s’interrogeant systématiquement sur la pertinence de chaque service utilisé.

Ce retour au "juste besoin" rejoint les principes de sobriété numérique : optimiser l’infrastructure, limiter les duplications, mieux exploiter les ressources existantes, et s’interroger sur la valeur produite par chaque couche technologique. Cette approche pragmatique permet non seulement de contenir les coûts et l’empreinte environnementale, mais aussi de renforcer la résilience à long terme.

En résumé, la question posée n’est pas tant celle du cloud lui-même, mais celle de notre capacité collective à en faire un usage maîtrisé, lucide, et soutenable.

 

[1] [2] Annual Outage Analysis 2023 - Uptime Institute

https://uptimeinstitute.com/resources/research-and-reports/annual-outage-analysis-2023

[3] [4] [5] “Critical” cloud service outages up by nearly one fifth in 2024

https://www.parametrixinsurance.com/in-the-news/2024-cloud-outage-risk-report

[6] Cloud Sustainability and Its Intersection with FinOps

https://www.finops.org/wg/sustainability/

[7] [8] [10] Cloud et IA : l'Arcep appelle à une régulation européenne plus ambitieuse

https://www.banquedesterritoires.fr/cloud-et-ia-larcep-appelle-une-regulation-europeenne-plus-ambitieuse

[9] The intersection of FinOps and cloud sustainability

https://www.finops.org/topic/cloud-sustainability/

[11] [12] [17] [18] [19] [20] AVIS D’EXPERT – La flambée des coûts du cloud hyperscale freine l’innovation IA des entreprises françaises

https://www.solutions-numeriques.com/avis-dexpert-la-flambee-des-couts-du-cloud-hyperscale-freine-linnovation-ia-des-entreprises-francaises/

[13] [14] Recommandation : Interopérabilité et portabilité des services d'informatique en nuage (25 septembre 2025)

https://www.arcep.fr/uploads/tx_gspublication/recommandation-interoperabilite-portabilite-cloud_sept2025.pdf

[15] [16] Cloud : les risques d’une certification européenne permettant l’accès des autorités étrangères aux données sensibles | CNIL

https://www.cnil.fr/fr/cloud-les-risques-dune-certification-europeenne-permettant-lacces-des-autorites-etrangeres

[21] Cybersécurité 2026 : le passage d'un enjeu technique à ... - CIO Mag

https://cio-mag.com/cybersecurite-2026-le-passage-dun-enjeu-technique-a-un-arbitrage-strategique/