Une grande majorité des pays de l’UE s’appuient sur les services cloud américains pour leurs agences de défense nationale, les exposant au risque d’un « kill switch » qui arrête le service à tout moment.
La plupart des pays européens s’appuient sur les fournisseurs de cloud américains pour leurs opérations militaires et risquent d’être exposés à un « kill switch », selon une nouvelle analyse.
Le groupe de réflexion Future of Technology Institute (FOTI), basé à Bruxelles, a déclaré qu’une grande majorité des pays européens dépendent des entreprises technologiques américaines pour leurs applications de défense nationale, soit par le biais de partenariats directs, soit par l’intermédiaire d’entreprises européennes qui utilisent les services cloud américains.
Ces entreprises risquent un « kill switch », l’idée selon laquelle Washington assignera à comparaître les données stockées dans le cloud ou imposera des sanctions aux fournisseurs de cloud américains.
Le président américain peut émettre une assignation à comparaître pour obtenir des données en vertu du CLOUD Act, adopté lors du premier mandat de Donald Trump à la Maison Blanche.
En particulier, 16 pays européens courent un risque élevé d’être touchés par un kill switch américain : Croatie, République tchèque, Danemark, Estonie, Finlande, Allemagne, Hongrie, Irlande, Lettonie, Lituanie, Pologne, Portugal, Roumanie, Slovaquie, Slovénie et Royaume-Uni.
Sept autres pays courent un risque moyen car ils sont indirectement exposés à l’infrastructure cloud américaine par l’intermédiaire des entrepreneurs européens qui ont construit leur système cloud : la Belgique, la France, la Grèce, l’Italie, le Luxembourg, l’Espagne et les Pays-Bas.
Cori Crider, directrice exécutive de la FOTI, a déclaré que les États-Unis avaient utilisé ce kill switch en 2025 lorsque Microsoft avait bloqué les comptes du procureur en chef de la CPI, Karim Khan, après que Trump ait imposé des sanctions.
Dans un autre exemple, Maxar Technologies aurait restreint l’accès de l’Ukraine à ses images satellite après que les États-Unis ont suspendu le partage de renseignements, ont rapporté les médias ukrainiens.
« Une sorte de risque de kill switch de la part des États-Unis n’est plus une sorte de discussion théorique… il s’agit d’un risque réel et imminent que l’Europe n’a plus le luxe d’ignorer », a déclaré Crider.
Les chercheurs n’ont pas pu trouver suffisamment de données sur la Bulgarie, Chypre, Malte et la Suède pour déterminer la vulnérabilité de leurs systèmes cloud militaires.
Microsoft, Google et Oracle obtiennent la plupart des contrats de défense
Pour son étude, la FOTI a évalué les avis de marchés publics d’une valeur de plus de 143 000 euros et a vérifié sur les sites de la défense nationale les références à « cloud », « Microsoft », « Google », « Amazon Web Services » et « Oracle ».
Microsoft est le plus grand fournisseur de cloud pour les agences européennes de défense, avec ses systèmes utilisés par 19 pays, selon l’étude. Google et Oracle ont également obtenu des contrats de défense.
Les pays les plus à risque s’appuient directement sur les services des sociétés cloud américaines qui ne sont peut-être pas « isolées », ce qui signifie que le système est physiquement déconnecté de l’infrastructure cloud mondiale.
Ces systèmes restent vulnérables car ils « nécessitent des mises à jour régulières et dépendent de la maintenance du fournisseur de services américain », ce qui les met en danger en cas de sanctions, selon l’étude.
Une estimation suédoise indique que les logiciels cloud américains pourraient être utilisés jusqu’à 30 jours après les sanctions, après quoi les licences expireront, selon Tobias Bacherle, chercheur à la FOTI.
Dans les pays à risque moyen, le sous-traitant immédiat de leur système cloud est une entreprise européenne qui fait appel à un fournisseur américain, indique le rapport.
Par exemple, les lectures parlementaires néerlandaises notent que la technologie hyperscaler américaine a construit leur cloud actuel, mais que celui-ci n’est pas géré directement par ces entreprises.
L’analyse de la FOTI est une « estimation prudente » de l’endroit où travaillent les fournisseurs de cloud des grandes technologies, ont déclaré les chercheurs, car il est difficile d’identifier chaque contrat impliquant la technologie américaine et de nombreux contrats sont classifiés.
L’Autriche, seule indépendante des hyperscalers américains
Selon l’étude, l’Autriche est le seul pays à avoir amorcé un abandon à l’échelle gouvernementale des fournisseurs de cloud propriétaires.
Le ministère de la Défense se serait éloigné des grandes entreprises technologiques pour se tourner vers NextCloud, un fournisseur open source, et LibreOffice, une alternative à Microsoft.
L’année dernière, les forces armées du pays auraient également retiré 16 000 postes de travail de Microsoft Office.
« L’Autriche semble être le seul pays assez indépendant, ou aussi indépendant qu’il l’est actuellement », a déclaré Bacherle.
Alors que les Pays-Bas sont actuellement considérés comme à risque moyen, les chercheurs les ont signalés comme un leader potentiel en matière de solutions cloud militaires souveraines en Europe.
En effet, le ministère de la Défense s’est récemment associé à la société de télécommunications néerlandaise KPN et à l’entrepreneur français Thales pour construire un cloud de défense souverain sans fournisseurs américains.
Qu’ont les hyperscalers américains en Europe ?
Les fournisseurs de cloud Amazon, Google et Microsoft ont introduit des options de cloud « souveraines » en Europe.
Amazon a créé AWS European Sovereign Cloud pour « aider les clients à répondre à leurs besoins évolutifs en matière de souveraineté », qui stocke les données dans l’UE, est indépendant et est conforme aux réglementations du bloc.
Des options souveraines similaires de Google et Microsoft indiquent que les données seront stockées et supervisées localement pour rester conformes aux lois locales.
Crider a qualifié ces efforts des entreprises technologiques de « lavage de souveraineté » car en cas de sanctions, les entreprises ne seront pas en mesure de mettre à jour leurs logiciels.
« De nos jours, ils savent que nous voulons la souveraineté technologique, donc pratiquement tous les acteurs dominants proposent une sorte de cloud souverain », a-t-elle déclaré.
L’Observatoire de l’Europe Next a contacté Google, Microsoft, Oracle et Amazon au sujet de leurs systèmes cloud souverains mais n’a pas reçu de réponse immédiate.
