Souveraineté numérique. Pour vos systèmes industriels.
Cybersécurité OT 100 % sur site, sans cloud étranger, sans FISA 702, sans Cloud Act. Architecture conçue pour les industries qui ne peuvent pas se permettre de douter de la juridiction de leurs données.
La cybersécurité industrielle manipule des données stratégiques : journaux d'automates, schémas réseau, comportements opérationnels, identifiants techniques. Confier ces données à un fournisseur cloud sous juridiction étrangère, c'est accepter qu'elles soient potentiellement consultables par les autorités du pays d'origine — sans recours juridique effectif côté français. Pour la BITD, pour les OIV, pour le secteur public, pour l'hôpital, ce risque a cessé d'être théorique. Les rapports parlementaires de 2024-2025 et les positions de l'ANSSI convergent sur un point : il faut privilégier les solutions souveraines pour les infrastructures critiques.
Loi US, 2018
Permet aux autorités américaines de réquisitionner les données hébergées par un fournisseur US, où qu'elles soient dans le monde. S'applique à toute entreprise US, indépendamment de la localisation physique des datacenters.
Renseignement US
Autorise la NSA à collecter les données de non-citoyens américains hébergées chez les fournisseurs US, sans notification ni recours. Renouvelé en 2024 pour 2 ans supplémentaires.
CJUE, 2020
Invalide le Privacy Shield. Impose des garanties effectives pour les transferts de données personnelles vers les USA. Expose les entreprises européennes utilisant des outils SaaS US à une violation RGPD.
Aucun cloud. Toutes les données restent dans vos murs.
Access Gate est une appliance physique ou virtuelle déployée sur votre réseau. Pas de SaaS, pas de cloud hybride, pas de telemetry obligatoire. La conséquence directe : aucune juridiction étrangère ne peut accéder à vos données, parce qu'aucune donnée ne quitte votre site.
Éditeur français, contrat français, droit français.
Trout est une société française. Le contrat est régi par le droit français. L'éditeur n'est pas soumis au Cloud Act ni au FISA 702. Aucun tribunal étranger ne peut imposer la divulgation de vos données via l'éditeur — parce que l'éditeur n'y a pas accès.
Source consultable sous NDA. Pas de boîte noire.
Les clients qualifiés — défense, OIV, secteur public — peuvent demander l'accès au code source sous NDA. Vous validez vous-même qu'il n'y a pas de fonction cachée, de canal sortant ou de backdoor. Pratique standard pour la BITD et les SIIV homologués ANSSI.
Comparaison classe d'architecture, sans nommer de produits spécifiques. Toute solution de cybersécurité opérée depuis un cloud sous juridiction US relève de la colonne de droite. Les évaluez à votre stack actuelle.
| Critère de souveraineté | Access Gate (on-premise) | Solutions cloud sous juridiction US | Si non-conforme |
|---|---|---|---|
| Hébergement des données | Sur votre site, jamais dans le cloud | Datacenters opérés par un fournisseur US | RISQUE ÉLEVÉ |
| Loi applicable aux données | Droit français exclusivement | Droit US (Cloud Act, FISA 702) applicable | RISQUE ÉLEVÉ |
| Extraterritorialité juridique étrangère | Aucune | Oui — accès possible par autorités US sans recours | RISQUE ÉLEVÉ |
| Telemetry obligatoire vers l'éditeur | Aucune. Toutes les données restent sur site. | Oui, par construction du SaaS | RISQUE MODÉRÉ |
| Disponibilité en cas de tension géopolitique | Indépendante. Aucun kill-switch fournisseur. | Dépendante des accords commerciaux et politiques | RISQUE ÉLEVÉ |
| Hébergement multi-tenant | Non. Appliance dédiée, isolée logiquement. | Souvent — partage d'infrastructure cloud | RISQUE MODÉRÉ |
| Auditabilité du code source | Sous NDA, accessible aux clients qualifiés | Inaccessible — propriété de l'éditeur | RISQUE FAIBLE |
| Conforme cadre SecNumCloud (par contournement on-premise) | Pas de cloud à qualifier — l'exigence ne s'applique pas | Nécessite une qualification SecNumCloud, rare chez les éditeurs US | RISQUE ÉLEVÉ |
| Support technique en langue française | Équipe basée en France | Variable, souvent en anglais | RISQUE FAIBLE |
| Compatibilité OT / systèmes industriels legacy | Conçue pour l'OT — PLC, HMI, automates | Pensée IT — l'OT est secondaire ou indisponible | RISQUE MODÉRÉ |
Sur votre site, jamais dans le cloud
Datacenters opérés par un fournisseur US
Droit français exclusivement
Droit US (Cloud Act, FISA 702) applicable
Aucune
Oui — accès possible par autorités US sans recours
Aucune. Toutes les données restent sur site.
Oui, par construction du SaaS
Indépendante. Aucun kill-switch fournisseur.
Dépendante des accords commerciaux et politiques
Non. Appliance dédiée, isolée logiquement.
Souvent — partage d'infrastructure cloud
Sous NDA, accessible aux clients qualifiés
Inaccessible — propriété de l'éditeur
Pas de cloud à qualifier — l'exigence ne s'applique pas
Nécessite une qualification SecNumCloud, rare chez les éditeurs US
Équipe basée en France
Variable, souvent en anglais
Conçue pour l'OT — PLC, HMI, automates
Pensée IT — l'OT est secondaire ou indisponible
Points à risque élevé
Sur 10 critères, 5 ont un impact direct sur la juridiction et la disponibilité de vos données.
Le test simple à faire dès aujourd'hui : demandez à votre éditeur actuel si ses données — y compris les journaux et la telemetry — peuvent être réquisitionnées par les autorités américaines au titre du Cloud Act ou du FISA 702. Si la réponse est oui (ou évasive), vous avez une dépendance souveraineté. Si la réponse est « non, nous sommes français et hébergeons en France », vous êtes alignés.
Quatre profils où la souveraineté n'est pas optionnelle.
BITD & sous-traitants défense
Donneurs d'ordre interdisant le cloud US par clause contractuelle. Marchés DGA, Naval Group, Safran, Thales, MBDA, Dassault. La souveraineté n'est pas une préférence, c'est une obligation de marché.
Obligation contractuelleProchaine étape
Validation préalable avec le donneur d'ordre. Démo on-site avec démonstration de l'absence de telemetry sortante.
OIV avec SIIV à protéger
Énergie, eau, transport, télécoms. La cybersécurité des SIIV doit rester sous juridiction française. L'ANSSI privilégie systématiquement les solutions souveraines lors des homologations.
StratégiqueProchaine étape
Audit de souveraineté de la stack actuelle. Plan de migration des composants exposés au Cloud Act / FISA 702.
Santé, hôpitaux, données sensibles
Secret médical + RGPD + obligation Hébergeur de Données de Santé. La transmission de logs ou de telemetry vers un cloud US est juridiquement problématique, même sous prétexte de cybersécurité.
Conformité RGPDProchaine étape
Inventaire des flux sortants des outils de sécurité actuels. Évaluation de l'exposition Schrems II.
Secteur public et collectivités
Préférence européenne dans les marchés publics. Politique d'achat « cloud au centre » de la DINUM, mais la souveraineté reste un critère d'évaluation explicite. Avantage net aux solutions européennes.
Préférence marchés publicsProchaine étape
Réponse appel d'offres avec dossier souveraineté complet : juridiction, hébergement, code, support.
Tout ce qu'il faut pour passer un audit souveraineté.
Statuts juridiques, architecture technique, clauses contractuelles, démonstration de l'absence de flux sortants. Le dossier validé par les marchés publics et la BITD.
Souverain par architecture
Pas de cloud. Pas de telemetry. Pas de dépendance à un fournisseur sous juridiction étrangère. La souveraineté ne dépend pas d'une promesse contractuelle — elle est intégrée à la conception.
Compatible cadre ANSSI
Architecture compatible avec les attentes ANSSI sur l'autonomie stratégique des SIIV. Pas de qualification SecNumCloud requise, parce qu'il n'y a pas de cloud à qualifier.
Soumis à NIS2 ou à la LPM ?
NIS2 et la LPM imposent des obligations de cybersécurité industrielle à un périmètre élargi. Les solutions souveraines sont fortement recommandées pour la conformité, mais elles n'épuisent pas le sujet. Voir notre guide de conformité NIS2 et LPM pour les industriels français pour le détail des 10 mesures de l'article 21 et des obligations OIV.
Souveraineté et cybersécurité OT
Sur site, sans cloud étranger
La souveraineté numérique, c'est la capacité d'un État, d'une entreprise ou d'un opérateur de garder le contrôle effectif de ses données, de ses systèmes et de leurs juridictions. Concrètement : où sont stockées vos données, qui peut y accéder légalement, qui peut couper le service, et qui peut auditer le code. Une solution souveraine répond aux quatre questions par « vous, ou des entités sous juridiction française ». Le contraire — données dans un cloud US, accès possible par les autorités US via Cloud Act ou FISA 702, kill-switch côté fournisseur, code propriétaire fermé — est ce qu'on appelle une dépendance stratégique.
Le Cloud Act (Clarifying Lawful Overseas Use of Data Act, 2018) permet aux autorités américaines de demander à un fournisseur cloud US l'accès aux données qu'il héberge, où qu'elles se trouvent dans le monde, y compris en Europe. Cette extraterritorialité s'applique à tout éditeur de nationalité américaine — peu importe où le datacenter physique est situé. Pour les industriels manipulant des informations sensibles (recherche, défense, énergie, données patients), c'est un risque juridique réel, identifié par l'ANSSI et par les rapports parlementaires français.
SecNumCloud est une qualification ANSSI pour les services de cloud. Access Gate n'est pas un service de cloud — c'est une appliance déployée sur site, dans votre réseau. L'exigence SecNumCloud ne s'applique donc pas. Ce qui est demandé via SecNumCloud — absence de juridiction étrangère, hébergement souverain, contrôle des accès — est satisfait par construction par l'architecture on-premise d'Access Gate. C'est précisément l'argument que l'ANSSI met en avant : si le cloud souverain est trop complexe ou indisponible, l'on-premise est l'alternative de souveraineté la plus simple.
Trois éléments forment le dossier souveraineté standard : (1) statuts juridiques de l'éditeur (entreprise française, soumise au droit français), (2) architecture technique démontrant l'absence de flux sortants vers des juridictions tierces (NetFlow, analyses Wireshark sur la passerelle), et (3) clause contractuelle de non-export et de juridiction française. Pour les marchés défense, ajouter le NDA d'auditabilité du code source si demandé. Access Gate fournit ces trois éléments dans un dossier standardisé, validé en marché public et BITD.
Oui, indirectement mais sérieusement. L'arrêt Schrems II (CJUE, 2020) a invalidé le Privacy Shield et impose aux entreprises européennes de garantir que les données personnelles transférées vers les USA bénéficient d'un niveau de protection équivalent au RGPD. Les outils de cybersécurité collectent massivement des journaux, des données réseau et parfois des identifiants — qui constituent des données personnelles au sens du RGPD. Une solution SaaS US qui exfiltre ces données vers ses datacenters US expose son client à une violation Schrems II. Access Gate, en restant on-premise, supprime totalement ce risque.
Souveraineté numérique : contrôle effectif des données et des juridictions. Autonomie stratégique : capacité de continuer à fonctionner même en cas de rupture des chaînes d'approvisionnement étrangères (sanctions, embargos, tensions géopolitiques). Une solution peut être souveraine sans être autonome (ex : un cloud français qui dépend d'un hyperscaler US pour sa technologie). Access Gate est conçue pour les deux : juridiction française ET capacité de fonctionner indépendamment d'un acteur étranger, hardware compris.