Dans notre monde toujours plus fortement numérisé, la préservation des données constitue un défi
majeur, autant pour un particulier que pour une entreprise ou un Etat. Les types de menaces planant
au-dessus des data, cet « or numérique » des temps modernes et futurs, sont multiples : vol,
extorsion, dégradation, compromission, corruption, destruction… Il ne se passe plus une semaine sans
que la presse n’évoque une cyberattaque ou l’émergence d’une nouvelle forme de cybermenace
exploitant une énième faille d’une application ou d’un logiciel jusqu’alors jamais détectée. Se rejoue à
l’ère numérique la dichotomie plurimillénaire entre l’épée et le bouclier, entre l’attitude offensive et la
posture défensive. A l’ingéniosité sans fin des hackers de toutes obédiences, répond une large palette de
solutions techniques, des plus passives aux plus proactives, en fonction des budgets à disposition et de
la détermination à croiser le fer dans le cyberespace.
Les enjeux liés à la cybersécurité ne sont pas seulement techniques, financiers, sécuritaires ou
criminels. Ils sont aussi de nature géopolitique quand assaillants ou victimes relèvent de la sphère
étatique. Ils constituent une dimension nouvelle de la conflictualité moderne. Les guerres en
Ukraine ou en Iran en fournissent quotidiennement de multiples illustrations, tout comme les multiples
épisodes de la guerre hybride que livre depuis des années, à plus ou moins basse intensité, la Russie
aux pays d’Europe occidentale.
L’Estonie en pionnière
Voici près de 20 ans, à compter du 27 avril 2007, des officines spécialisées russes, proches ou issues
du renseignement militaire, ont entamé une campagne particulièrement agressive à l’encontre de la
petite Estonie, alors très en pointe – mais aussi très vulnérable – dans sa volonté de numériser
(digitaliser en bon franglais) son économie et de dématérialiser ses activités administratives. Pendant 22
jours d’affilée, près d’une soixantaine de sites web du Parlement, de diverses institutions, de journaux et
de banques locales ont été sévèrement perturbés par le biais d’une combinaison de guerre électronique, de cyberattaques et de sabotages physiques d’installations sensibles ou d’infrastructures critiques.
Soutenue par ses alliés otaniens, l’Estonie a su faire face et se relever de ces assauts numériques.
Diverses réponses ont été élaborées par la suite afin de dissuader une nouvelle cyber-agression
d’ampleur : conception d’une doctrine nationale de lutte numérique ; mise en place d’un dispositif de
lutte informationnelle, organisation de nombreux exercices de simulations de nouvelles attaques
(exercices Locked Shields), sans parler de la création et de l’implantation en Estonie, dès 2008, du
Centre d’excellence de cyberdéfense coopérative de l’OTAN (NATO Cooperative Cyber Defence Centre
of Excellence / CCDCoE/).
Mais la mesure la plus spectaculaire en réponse à la menace russe, a été la décision des autorités de
Tallinn, d’entreposer une bonne partie des données numériques les plus sensibles du pays en
lieu sûr, à l’extérieur de leur territoire, au sein d’une « ambassade de données » (data embassy)
localisée au Luxembourg, dans le cadre d’une innovante coopération intra-européenne.
La mise en place de ce dispositif destiné à garantir la continuité numérique de l’État estonien en
cas de cyberattaque massive ou d’occupation militaire de leur territoire a débuté à compter de 2013.
Plusieurs bases de données critiques (registre de population, registre foncier et cadastre, registres
fiscaux et d’entreprises, systèmes de trésorerie, de justice, de finances publiques, de pensions de
retraite, registre des documents d’identité, Journal officiel, archives gouvernementales, corpus législatif
et réglementaire, etc.) ainsi que des systèmes opérationnels clés (gestion des tribunaux, système
d’information du Trésor public, divers systèmes centraux nécessaires au fonctionnement continu de
l’administration…) sont désormais hébergés sur des serveurs situés à l’étranger tout en demeurant
sous juridiction estonienne.
L’attractivité de l’offre techno-diplomatique luxembourgeoise
`Après avoir exploré diverses solutions techniques et juridiques, en particulier avec l’aide de Microsoft,
Tallinn s’est tourné à compter de 2015 vers le Grand Duché du Luxembourg pour négocier de telles
prestations. Les deux pays ont ainsi conclu, le 20 juin 2017, un accord bilatéral pour héberger des
données et systèmes d’information critiques dans un data center étatique luxembourgeois certifié Tier IV.
Cette extension du cloud gouvernemental estonien au-delà de ses frontières a nécessité la
négociations de garanties d’immunité largement inspirées de la Convention de Vienne, à défaut
d’autres cadres juridiques actuellement disponibles. Par ce biais, via des sauvegardes et des
synchronisations régulières, l’Estonie s’est dotée d’un « État numérique de repli » capable de
maintenir les services clés même si les data centers nationaux venaient à être paralysés, piratés,
occupés ou détruits. Le petit pays balte a ouvert une voie, devenant le 1er pays au monde à se doter d’une ambassade de données.
A la lumière de ce précédent, la principauté de Monaco – redoutant probablement une offensive éclaire
française sur ses données financières et fiscales – a conclu un accord similaire en juillet 2021 avec le
Grand Duché pour héberger une « e ambassade » destinée à protéger ses données
gouvernementales sensibles. Le micro-Etat méditerranéen dispose ainsi à l’étranger d’une copie
souveraine et juridiquement protégée de ses systèmes critiques, dans une infrastructure hautement
sécurisée, afin de renforcer la résilience monégasque face aux risques technologiques ou géopolitiques.
Ces deux opérations illustrent la volonté du Luxembourg, soucieux de diversification de son économie
se voulant toujours plus innovante dans le registre de la FinTech et de la HighTech, de se positionner
en tant qu’État hôte spécialisé pour les ambassades de données. Il offre une combinaison
gagnante d’infrastructures de grandes capacités, de data centers étatiques très sécurisés, d’expertise
cyber et un cadre juridique permettant de garantir l’immunité des données hébergées, le tout dans un
environnement géopolitique relativement stabilisé et sécurisé, au cœur de l’Union Européenne. De telles
prestations ont attirés de nouveaux « clients », pas seulement des Etats mais aussi des organisations
internationales à l’image de l’Office Européen des Brevets.
La réussite de ce modèle « techno-diplomatique » luxembourgeois a incité d’autres Etats à
s’intéresser à ce genre de marché d’avenir. En particulier l’Inde, mais surtout les pétromonarchies du
Golfe. Dès 2018, Bahreïn a adopté une loi sur le cloud assurant que les données stockées dans des
data-centers implantés dans l’Emirat insulaire demeurent soumises au droit interne d’un pays tiers. Des
projets de nature similaire sont apparus ces derniers temps en Arabie Saoudite et surtout dans
les Emirats arabes unis. La firme émirienne G42 caressait ainsi, début 2026, de grands projets en
matière de services de diplomatie numérique, en faisant miroiter à d’éventuels Etats clients les capacités
technologiques de la Fédération dans le cloud et en matière d’IA, les projets ambitieux d’implantation
d’hyperscalers en liaison avec les géants américains du secteur (Alphabet, Amazon, Microsoft), ainsi que
la solidité financière et économique du pays, son énergie bon marché, sans parler de sa stabilité
sécuritaire et géopolitique. Des arguments en béton, du moins jusqu’à la fin février 2026. Car depuis…
La déconvenue émirienne face à la riposte iranienne
Dès le lendemain du lancement de l’attaque israélo-américaine contre l’Iran, le 28 février, les premières
représailles iraniennes ont visé Israël, des installations militaires américaines dans la région mais
aussi trois data-centers exploités par Amazon Web Services (AWS) à Bahreïn et dans les EAU. Un
ciblage plutôt inattendu mais destiné, dès les premières heures du conflit, à écorner à coups de
missiles et de drones l’image idyllique de hub technologique et financier des Emirats. Les
dommages subis ont entraîné l’arrêt brutal de nombreuses applications et opérations, pénalisant tout
autant des clients du secteur bancaire, des télécoms, de l’e-commerce que des services. Il en a résulté
de graves perturbations affectant services de paiements, applications de réservation et chaînes
logistiques ainsi que la neutralisation, plus ou moins temporaire, de précieuses données, avec des
conséquences d’une gravité variable en fonction du niveau de résilience que leurs propriétaires avaient
pu et su anticiper (via la redondance des installations et l’optimisation de l’architecture réseau…).
Ces frappes du 1er mars constituent le premier cas répertorié d’attaques militaires directes contre
l’infrastructure physique de grands fournisseurs de l’écosystème du cloud, en « tapant »
délibérément sur des data-centers afin de paralyser – au moins temporairement – des activités qui y
prospéraient. La localisation de ce type d’équipements se veut discrète mais s’avère assez aisément
identifiable via l’imagerie satellitaire, du fait de la concentration sur un même site de divers indices :
emprise foncière importante ; abondance des lignes d’approvisionnement électrique, présence de
systèmes de refroidissement, canalisations d’eau, installations de raccordement à la fibre optique… Dans
la conflictualité moderne, de telles installations constituent désormais des cibles de haute valeur,
au même titre que des ponts, des raffineries, des centrales électriques, des aéroports, des gares ou des
bases militaires.
La moindre indisponibilité d’un actif aussi stratégique pour l’économie numérique contemporaine, même
pour une période limitée de 48 à 72 heures – le temps que l’on répare les équipements détruits ou que
l’on « switche » applications et datas sur d’autres centres de données toujours fonctionnels – induit des
pertes financières très lourdes et des perturbations très largement disproportionnées par rapport
aux moyens engagés pour mener une telle attaque. L’impact d’un drone valant quelques dizaines de
milliers de dollars peut affecter l’ensemble des services gouvernementaux d’un pays, son réseau de
banques ou les opérations de ses principales entreprises et provoquer des pertes de l’ordre de centaines
de millions de dollars, voire bien plus.
Un tel résultat illustre une des formes de l’asymétrie qui caractérise nombre de conflits actuels et à
venir. Et souligne également la convergence croissante entre problématiques de fiabilité, de
résilience et de continuité des services cloud et problématiques de sécurité nationale.
Téhéran n’entend pas se limiter à quelques frappes ponctuelles. Le 11 mars, par le biais de l’agence de
presse Tasnim, les Gardiens de la Révolution ont indiqué avoir identifié à l’échelle régionale une
trentaine de sites considérés comme « infrastructures technologiques ennemies » car appartenant à
des firmes de la Big Tech américaine (Amazon, Microsoft, Google, Palantir, Nvidia, IBM et Oracle). Mais
le choix des cibles pourrait être encore plus vaste. Près de 230 centres de données sont recensés dans
le Golfe, dont – pour l’heure – seule une poignée a été frappée. Mais plus le conflit durera, plus la
probabilité de ciblage de telles installations augmentera.
A ces frappes cinétiques contre des infrastructures critiques, s’est rajouté un déluge de cyber-attaques
contre les grands acteurs de l’économie numérique de la région, les autorités émiraties évoquant
plusieurs dizaines de milliers d’opérations malignes quotidiennes, de toutes natures (DDoS,
ransomware, wipers, web shells et compromission VPN), la plupart dopées à l’IA ((phishing
ultra‐réaliste, automatisation du scanning de vulnérabilités, ransomware sophistiqué) et mises en œuvre
par des structures étatiques ou para-étatiques iraniennes, épaulées par des mercenaires numériques ou
des groupes hacktivistes anti-occidentaux (DieNet, Team 313, Liwa Thar Allah, Fad Team,
Cyb3rDrag0nzz, and Fynix…).
La stratégie de Téhéran vise à punir les pétromonarchies du Golfe pour leur complicité dans
l’agression israélo-américaine. Il s’agit moins de verser du sang (les rares victimes à déplorer jusqu’à
présent étant très majoritairement de malchanceux travailleurs étrangers asiatiques) que de dégrader
durablement l’image d’îlots de stabilité connectés que cherchent à promouvoir ces Etats et laminer
leurs attractivité aux yeux des investisseurs, assureurs et expatriés « à haut potentiel et hauts
revenus ». La finalité recherchée est de fragiliser leurs stratégies de diversification post-pétrole et
leurs « Visions 2030/2050 » reposant sur la décarbonation de leurs économie. Les représailles
iraniennes se veulent tout autant à effet immédiat qu’à long terme.
Vulnérabilité physique du cloud : militarisation des mitigations et envolée des coûts
Cette guerre au Moyen-Orient donne lieu à une escalade sans précédent dans la dimension cyber.
Elle marque une étape supplémentaire vers une sorte de « guerre totale » qui engloberait tout autant
dévastations physiques à l’encontre des populations et des territoires que ciblage des infrastructures
numériques et de l’écosystème du cloud.
Le franchissement de ce seuil ces dernières semaines nécessite de repenser la conception de ces installations et la survivabilité des services qui en dépendent, menacées tout autant par des cyber-
opérations que par des destructions matérielles de serveurs ou de points de connexion à diverses réseaux. Cette « extension du domaine de la lutte » contraint à faire évoluer le design de tels
équipements. Et implique de passer d’un concept de grand hangar réfrigéré, comme actuellement, à
celui de véritable forteresse bunkérisée, bardée de multiples solutions de mitigation des menaces,
pouvant conduire au déploiement de systèmes de défense anti-aérienne sophistiqués et divers autres
moyens sécuritaires spécifiquement dédiés.
Une telle militarisation de la sécurité des data-centers ne peut que gonfler de manière très
significative les dépenses de construction et de fonctionnement et les coûts assurantiels de ces
infrastructures, déjà très gourmandes en ressources foncières, énergétiques et aquifères. De quoi
amplifier les mouvements de contestation des populations vivant à proximité et générer une nouvelle
source de casse-tête pour les opérateurs de ces centres de données.
Cette évolution remet sérieusement en question le narratif d’un « build-out illimité » du secteur
du cloud, pour reprendre une expression du jargon techno-geek, c’est-à-dire la croyance en un essor
quasiment sans limite et sans restriction de ce secteur d’activités, au regard des besoins croissants en
stockage et analyses de données et des enjeux économiques, technologiques et géopolitiques qui en
découlent. Or, les frappes iraniennes de mars 2026 ont illustré la fragilité du segment infrastructurel
du cloud et sa forte vulnérabilité aux effets basiques d’un conflit armé. Quelques grammes (ou
kilos) d’explosifs seront toujours en mesure de réduire au néant une myriade de puces les plus
perfectionnées soient-elles et de téraoctets de données. Un rapport de force qui ne devrait guère évoluer
au cours des prochaines décennies.
La principale leçon à tirer d’une telle évolution est que désormais, les décisions d’implantation de
centres de données, en tout cas, sur une bonne partie de la planète, ne doivent plus se faire
uniquement à la lumière de critères techno économiques (latence, prix du kWh, état du réseau
électrique, ressources en eau, fiscalité, climat) mais sur la base d’une matrice des coûts et des
risques plus large, prenant en compte le risque de conflictualité – conventionnelle et hybride– du
territoire hôte, en insistant tout particulièrement sur ses capacités de défense anti-aérienne. Tout incite à
penser qu’une telle tendance ne devrait cesser de se consolider au cours des prochaines années et
devienne une règle d’or à l’horizon 2035 !
***
Ces événements tragiques rappellent, si besoin en était, que la souveraineté numérique constitue un
impératif dans notre monde actuel et encore plus dans celui qui vient et qu’il apparaît bien
imprudent de s’en remettre, dans ce domaine, à des grands opérateurs étrangers quelles que soient leur
compétence technologique et l’attractivité de leur offre commerciale. En la matière, l’émancipation et
l’autonomie sont des injonctions non négociables pour qui veut peser dans les relations
internationales contemporaines et à venir, et ne pas se contenter d’un strapontin réservé aux
supplétifs de grandes puissances prédatrices. Formulons le vœu que les décideurs européens en soient
réellement bien conscients…