Le cloud est devenu le socle du système d’information de toute entreprise. Mais derrière ce terme générique se cachent des réalités très différentes — et des choix qui engagent votre sécurité, votre indépendance et votre budget pour des années.
En 2026, le paysage a profondément changé. L’entrée en vigueur de NIS2, le renforcement de SecNumCloud en version 3.2, l’arrivée de l’AI Act européen et les tensions géopolitiques ont transformé la question du cloud d’un sujet technique en un véritable enjeu stratégique.
Selon une étude Flexera de 2025, 83 % des responsables IT citent le coût du cloud comme leur préoccupation principale — pour la cinquième année consécutive. Côté souveraineté, une étude Ifop pour Acteurs Publics révèle que 74 % des DSI considèrent la souveraineté comme un critère essentiel dans leurs choix cloud.
Alors, cloud public, cloud privé ou cloud souverain ? Voici notre lecture pour les PME et ETI françaises.
Les trois modèles de cloud, sans jargon
Le cloud public : la puissance à la demande
Le cloud public, c’est une infrastructure mutualisée opérée par de grands acteurs — Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP). Vous louez des ressources à la minute, à l’heure ou au mois, sans investir dans du matériel.
Ce qui fonctionne bien : le coût d’entrée est très faible, le déploiement est quasi instantané, et la richesse fonctionnelle est impressionnante — de l’intelligence artificielle à l’analyse de données en passant par les API de traitement d’images ou de langage naturel.
Ce qui pose problème : ces trois acteurs américains contrôlent à eux seuls plus de 72 % du marché européen du cloud. Vos données sont soumises au Cloud Act américain, qui autorise les autorités US à accéder aux données des entreprises américaines partout dans le monde — y compris sur des serveurs situés en Europe. Et les coûts, séduisants au départ, peuvent exploser quand l’usage croît : bande passante sortante, stockage cumulé, services managés…
Pour qui ? Sites web, applications SaaS, environnements de développement et de test, projets d’IA nécessitant de la puissance GPU ponctuelle.
Le cloud privé : le contrôle avant tout
Le cloud privé repose sur une infrastructure qui vous est dédiée — soit dans vos propres locaux, soit hébergée chez un prestataire. Vous gardez la main sur tout : réseau, sécurité, configuration, accès.
Ce qui fonctionne bien : vous maîtrisez totalement vos données, vos performances sont prévisibles, et vous pouvez personnaliser l’infrastructure à votre besoin métier exact.
Ce qui pose problème : l’investissement initial est significatif, la maintenance est à votre charge (ou celle de votre infogéreur), et l’élasticité est limitée — si vous avez besoin de doubler vos capacités pour un pic d’activité, ce n’est pas instantané.
Pour qui ? ERP critiques (comme EBP, Sage ou SAP Business One), applications métier spécifiques, données sensibles (RH, finances, santé), environnements réglementés.
Le cloud souverain : l’indépendance juridique et technique
Le cloud souverain ne se résume pas à héberger ses données en France. C’est un ensemble de garanties juridiques, techniques et organisationnelles : immunité aux lois extraterritoriales, contrôle des accès administratifs, chiffrement avec des clés gérées par le client, et traçabilité complète.
En France, la référence est la qualification SecNumCloud, délivrée par l’ANSSI. Sa version 3.2, en vigueur depuis 2025, intègre des exigences relatives à l’intelligence artificielle et exige que l’opérateur soit une entité de droit français, avec un capital majoritairement détenu par des entités européennes.
Ce qui fonctionne bien : conformité RGPD native, protection contre le Cloud Act, interlocuteur français, support local. Et contrairement aux idées reçues, les tarifs sont souvent 20 à 35 % inférieurs à ceux des hyperscalers américains.
Ce qui pose problème : l’écosystème de services managés est moins riche (pas d’équivalent direct à Vertex AI ou Azure AI), et certaines certifications sont encore en cours d’obtention.
Pour qui ? Données stratégiques et réglementées, secteur public, sous-traitants d’OIV, toute entreprise souhaitant réduire sa dépendance extraterritoriale.
Le vrai enjeu : construire une stratégie hybride intelligente
La bonne réponse n’est presque jamais « tout public » ou « tout privé ». La stratégie gagnante pour une PME, c’est le multi-cloud hybride : placer chaque application et chaque donnée au bon endroit, en fonction de sa sensibilité, de son criticité et de ses exigences de performance.
Quatre niveaux de classification pour décider
Niveau 1 — Données publiques (site web, marketing, catalogue produit) : cloud public, sans restriction. C’est là que les hyperscalers excellent, avec des coûts imbattables.
Niveau 2 — Données sensibles RGPD (fichiers clients, devis, CRM) : cloud public avec un DPA conforme, chiffrement côté client (BYOK), et hébergement garanti en Union Européenne.
Niveau 3 — Données réglementées (comptabilité, paie, données de santé) : cloud souverain européen avec certifications HDS ou ISO 27001. OVHcloud et Scaleway sont bien positionnés sur ce segment.
Niveau 4 — Données stratégiques (propriété intellectuelle, données de défense, R&D sensible) : cloud privé ou SecNumCloud qualifié, sans aucune dépendance à une entité non européenne.
Exemple concret pour une PME industrielle
| Usage | Recommandation | Pourquoi |
|---|---|---|
| Site web et e-commerce | Cloud public (AWS, GCP) | Performance, CDN mondial, coût au clic |
| ERP et comptabilité | Cloud privé ou souverain | Données critiques, conformité, maîtrise |
| Messagerie et collaboration | Cloud souverain ou de confiance | NIS2, protection des échanges |
| Sauvegardes | Hybride : cloud public + souverain | Redondance géographique, coût maîtrisé |
| IA et analyse de données | Cloud public | Richesse fonctionnelle, GPU à la demande |
| Données RH et paie | Cloud souverain | RGPD strict, données personnelles sensibles |
Les cinq erreurs qui coûtent cher aux PME
Erreur n°1 — Aller 100 % cloud public sans réfléchir
C’est la décision la plus rapide et la plus séduisante. On démarre en quelques clics, tout fonctionne. Mais au bout de 18 mois, la facture a doublé (bande passante, stockage cumulé, services premium activés), le vendor lock-in est installé (vos données sont dans un format propriétaire), et vous découvrez que votre ERP tourne sur des serveurs soumis au Cloud Act.
Erreur n°2 — Tout garder en interne « par sécurité »
L’inverse n’est pas mieux. Un serveur sous le bureau, maintenu par le stagiaire qui est parti — c’est un risque plus grand que le cloud public. Pas de redondance, pas de plan de reprise d’activité, des mises à jour aléatoires. Le faux sentiment de contrôle est le pire ennemi de la sécurité.
Erreur n°3 — Ignorer la question de la souveraineté
En 2026, ce n’est plus un sujet de convaincus. La directive NIS2 impose des obligations de cybersécurité renforcées à de nombreuses PME — y compris les sous-traitants de secteurs critiques. Si vous travaillez avec le secteur public, la santé, l’énergie ou les transports, la question n’est plus « si » mais « quand » vos clients vous demanderont des garanties de souveraineté.
Erreur n°4 — Ne pas prévoir la réversibilité
Avant de signer avec un fournisseur cloud, posez-vous une question simple : pouvez-vous quitter ce cloud en trois mois ? Si la réponse est non, vous êtes en situation de dépendance. L’Infrastructure as Code (Terraform), les conteneurs (Kubernetes) et les formats ouverts sont vos meilleurs alliés pour garder la porte de sortie ouverte.
Erreur n°5 — Ne pas piloter les coûts
Le cloud, ce n’est pas un forfait fixe. C’est un compteur qui tourne. Sans suivi FinOps — c’est-à-dire un pilotage financier des consommations cloud — les budgets dérivent silencieusement. Des instances oubliées qui tournent le week-end, du stockage orphelin, des environnements de test jamais éteints : chaque mois sans suivi, c’est de l’argent gaspillé.
Notre recommandation pour les PME
Chez DSI As A Service, nous accompagnons des PME et ETI dans cette transformation depuis plusieurs années. Voici notre méthode en quatre étapes.
1. Cartographier avant de migrer
Avant de parler de cloud, il faut parler d’applications. Quelles sont celles qui sont critiques pour votre activité ? Quelles données sont sensibles au sens du RGPD ? Quelles applications ont besoin de performance, et lesquelles de sécurité avant tout ? Cette cartographie est le point de départ de toute stratégie cloud sérieuse.
2. Adopter une approche hybride assumée
Le cloud public pour l’agilité et l’innovation. Le cloud privé pour le contrôle et la performance. Le cloud souverain pour la conformité et l’indépendance. Chaque brique a sa place — l’erreur, c’est de tout mettre dans le même panier.
3. Intégrer la réversibilité dès le départ
La réversibilité se pense au jour zéro, pas le jour où on veut partir. Cela passe par des choix techniques (conteneurs, Infrastructure as Code, APIs ouvertes), mais aussi par des clauses contractuelles claires : délais de récupération des données, formats de sortie, coûts de migration.
4. Piloter les coûts en continu
Mettre en place un suivi FinOps, même simple — un tableau de bord mensuel des consommations par service, par environnement, par équipe. Identifier les gaspillages. Optimiser les réservations. Et surtout, impliquer les métiers dans cette culture du coût : le cloud, c’est un effort collectif.
La vraie question de 2026
La question n’est plus « cloud ou pas cloud ? » — elle est déjà tranchée. Le cloud est devenu le standard.
La vraie question, c’est : quel niveau de dépendance êtes-vous prêt à accepter ?
Dépendance à un fournisseur américain soumis au Cloud Act. Dépendance à un format propriétaire que vous ne pourrez pas quitter. Dépendance à un prestataire qui augmente ses prix de 15 % par an.
Le cloud n’est pas un choix technologique. C’est un choix de gouvernance, de souveraineté et de stratégie d’entreprise.
Besoin d’y voir plus clair ?
Chez DSI As A Service, nous accompagnons les PME et ETI dans la définition de leur stratégie cloud, l’optimisation des coûts et la sécurisation de leurs données.
Contactez-nous pour un audit flash de votre SI — nous vous aidons à cartographier vos applications, évaluer vos risques de dépendance et construire une feuille de route cloud adaptée à votre réalité.