SDBR News : Google Cloud a-t-il des clients étatiques ou des OIV ?

Thiébaut Meyer: Oui tout à fait, des clients OIV français, du secteur public et des acteurs de la Défense. Sans parler des données classifiées, les règles de la Loi de Programmation Militaire (LPM) empêchent de mettre les données de ces organisations dans un cloud public. Je ne parle pas de cloud français ou américain, mais tout simplement de cloud public. Aujourd'hui, techniquement ce n'est pas possible, notamment dû à l’exigence de sondes qualifiées qui n'existent que physiquement et qui ne sont pas encore virtualisées. Pour ces organisations, Google Cloud dispose de l’offre GDC-AG (Google Distributed Cloud - Air Gapped).

SDBR News : Qu’est-ce que Google Distributed Cloud (GDC)?

Thiébaut Meyer: Google Distributed Cloud* apporte l'infrastructure et les services de Google Cloud à divers emplacements physiques, également appelés environnements distribués, et peut s'exécuter dans des centres de données sur site.

Distributed Cloud propose deux solutions distinctes :

• Google Distributed Cloud (GDC) connecté permet de rapprocher l'infrastructure et les services Google Cloud là où les données sont générées et utilisées.

• Google Distributed Cloud (GDC) air-gapped qui permet d'héberger, de contrôler et de gérer l'infrastructure et les services directement sur les serveurs du client. Google Distributed Cloud sous air gap ne nécessite pas de connexion à Google Cloud. C’est une solution de cloud complètement déconnectée de notre infrastructure, pour les organisations qui ont besoin d'une isolation complète afin de répondre à des exigences réglementaires et de souveraineté strictes

SDBR News : Donc des clients étatiques ont été séduits par GDC ?

Thiébaut Meyer: Oui, certains gouvernements en Europe utilisent cette technologie pour traiter de la donnée, de même que des industriels de défense qui ont évidemment des contraintes sur des données classifiées : pas de connexion Internet, contraintes de câblage, contrôle des émissions électromagnétiques, etc. Pour autant ces organisations souhaitent trouver une techno plus moderne, un peu de cloud, faire du container, développer des micro-services, etc. Donc GDC repose à peu près sur la même souche technique que notre cloud public. Concernant les OIVs, il y a des contraintes fortes et nous savons maintenant ajouter des contrôles additionnels de sécurité, ce que nous appelons le contrôle de souveraineté : donner plus de contrôles à l'utilisateur et avoir plus de restrictions.

SDBR News : Avec des briques de traitement de la donnée ?

Thiébaut Meyer: Tout à fait. Nous savons bien stocker de la donnée mais notre vraie valeur ajoutée, au-delà du simple stockage, c'est pour tout ce qui concerne le traitement de cette donnée. Toutes les données de nos clients sont chiffrées mais c'est nous qui gérons par défaut, c'est nous qui gérons les chiffrements. En revanche, un client peut très bien nous dire « c'est moi qui vais gérer les chiffrements et je vais les gérer à l'extérieur de votre plateforme ». Donc, il nous confie des données chiffrées qui pour nous sont illisibles et inaccessibles.

SDBR News : Comment alors travaillez-vous ces données ?

Thiébaut Meyer: Nous travaillons avec des entreprises comme Thales, qui font des HSM (modules de sécurité matériels) et qui vont gérer le stockage du chiffrement pour le client final. Et c'est le client final qui maîtrise sa clé de chiffrement de A à Z. Certains clients le font eux-mêmes, d'autres le font par un partenariat local. Si le HSM n'est pas disponible, la donnée non plus. Thales, avec qui nous travaillons, se retrouve alors tiers de confiance. Une chose est certaine et mérite d’être rappelée : les données de nos clients sont les données de nos clients.

SDBR News : Pourquoi avoir monté une JV avec Thales ?

Thiébaut Meyer: Nous avons en effet créé un partenariat avec Thales et une entité « S3NS ». Nous sommes actionnaires minoritaires dans la JV, sous le seuil prévu dans le cadre SecNumCloud, et nous n’y avons aucun pouvoir opérationnel ou décisionnel. Thales est vraiment LE fournisseur de services. Google ne fournit que la plateforme technologique. Le maintien en condition opérationnelle et de sécurité est opéré par S3NS. Google Cloud n'a accès ni aux données ni aux salles ou aux machines physiques. Nous attendons la certification SecNumCloud avant la fin 2025.

SDBR News : Avez-vous des partenariats similaires dans d’autres pays ?

Thiébaut Meyer: Nous avons des partenariats similaires avec Deutsche Telekom en Allemagne, Tim en Italie, Indra en Espagne et Proximus au Luxembourg.

Pour certaines offres, nous ne sommes pas sur une trajectoire SecNumCloud et les données demeurent sur notre infrastructure. Nous y rajoutons du chiffrement opéré côté client, avec une gestion des clés proposée par un tiers de confiance. Nous essayons de travailler sur des formats ouverts, d'intégrer aussi des briques « open source » et de favoriser le multicloud. Ainsi, un client qui veut s’en aller n’aura aucune difficulté à repartir avec l’intégralité de ses données brutes dans un format ouvert.

SDBR News : Après l’acquisition de Wiz, que manquera-t-il dans le dispositif de Google ?

Thiébaut Meyer: L'objectif principal de l’acquisition de Wiz est d'apporter la sécurisation dans le multicloud, Wiz s’étant démarqué en concevant un modèle de sécurité informatique axé sur l’utilisation du cloud. Google a conclu un accord définitif pour le rachat de la start-up américaine pour 32 milliards de dollars, cette prise de contrôle se faisant entièrement en numéraire et devant être finalisée en 2026. Nous attendons le feu vert des autorités de la concurrence américaine.

Wiz va nous permettre d'étendre nos capacités de sécurisation multicloud - car nos clients ont besoin d'avoir la visibilité sur leur déploiement de cloud en termes de compliance et de sécurité - plus un certain nombre d'autres choses, dont la sécurisation des intelligences artificielles.

* https://cloud.google.com/distributed-cloud/hosted/docs/latest/gdch/overview?hl=fr

L’interview a été réalisée par Alain Establier durant “Les Assises de la Cybersécurité” qui se sont tenues du 08 au 10 octobre 2025 à Monaco.