Votre dépendance au cloud est désormais un risque régulé. La plupart des entreprises ne voient même pas la leur.

Qu'est-ce qui a réellement changé?

Pendant des années, la question du cloud était pratique: quel fournisseur, à quel prix. Le European Technological Sovereignty Package de 2026, et le Cloud and AI Development Act qu'il contient, change la question. Il introduit un cadre de souveraineté à quatre niveaux qui évalue le degré d'indépendance de votre infrastructure vis-à-vis d'un fournisseur étranger unique. L'endroit où vos systèmes s'exécutent, et qui les contrôle en dernière instance, est désormais une affaire régulée, et non plus un simple choix d'architecture.

Il n'arrive pas seul. Il vient se superposer à DORA, NIS2, au Data Act et à l'AI Act, chacun assorti de ses propres obligations en matière de continuité, de sécurité et de responsabilité. Pour une entreprise opérant en Europe, le résultat est un environnement de conformité où la concentration sur un seul hyperscaler n'est plus seulement commode. C'est une exposition documentée.

Pourquoi la plupart des entreprises ne voient-elles pas leur propre exposition?

Parce que la dépendance est enfouie. Peu d'organisations dépendent d'un cloud unique d'une manière qu'elles peuvent visualiser sur une seule page. La dépendance réelle passe par les services gérés, les outils de conformité, les systèmes d'IA qu'elles ont adoptés, les plateformes d'analytique, l'infrastructure d'identité et les pipelines de développement, dont beaucoup ramènent discrètement aux mêmes un ou deux fournisseurs.

Ainsi, lorsqu'un conseil d'administration demande si l'entreprise pourrait continuer à fonctionner en cas de défaillance de son principal fournisseur ou si celui-ci était jugé non conforme, la réponse honnête est généralement que personne ne l'a cartographié. C'est la faille que les nouvelles règles s'apprêtent à révéler, et celle que DORA impose déjà aux entreprises régulées de combler.

Que devrait faire une entreprise sérieuse dès maintenant?

Cartographiez la chaîne de dépendance avant qu'un régulateur ou une panne ne la cartographie pour vous. Identifiez quelles fonctions critiques reposent sur un fournisseur unique, où vous n'avez aucun basculement testé, et où un niveau de souveraineté vous mettrait hors-jeu. Ce n'est pas un appel à abandonner les hyperscalers. C'est un appel à savoir exactement ce que vous feriez sans eux, et à pouvoir le démontrer.

La résilience a toujours porté sur la dépendance que vous ne pouvez pas remplacer. Les nouvelles règles font simplement de cette dépendance quelque chose que vous devez désormais voir, documenter et défendre. Les entreprises qui la cartographieront tôt traiteront les échéances comme une routine. Celles qui attendront découvriront la forme de leur dépendance au pire moment possible.

À lire ensuite: Pourquoi l'IA fait-elle grimper le prix de matériel que vous n'avez jamais acheté?  ·  Pourquoi le plus gros coût de l'IA est-il devenu une facture de loyer mensuelle?