Glossaire

Modèle de fourniture de ressources informatiques (calcul, stockage, réseau, logiciels) à la demande, mutualisées et facturées à l'usage, exploitées par un tiers. Trois niveaux : IaaS (infrastructure brute), PaaS (plateforme d'exécution), SaaS (logiciel fini). Plus on monte dans les étages, plus on délègue l'exploitation, et plus on confie l'accès à ses données.

Application d'une norme juridique au-delà du territoire national. Le CLOUD Act (États-Unis, 2018) autorise les autorités américaines à exiger d'un fournisseur relevant de leur juridiction la communication de données qu'il détient, quel que soit le lieu de stockage. Conséquence directe : localiser ses serveurs en Europe ne suffit pas à se protéger d'un accès étranger ; c'est le rattachement juridique de l'opérateur qui décide.

Opérateur de cloud à très grande échelle, dont la surface (nombre de services, capacité, répartition mondiale) dépasse d'un ou plusieurs ordres de grandeur celle des acteurs régionaux. Le terme vise surtout AWS, Microsoft Azure et Google Cloud. À distinguer d'un fournisseur intégré comme OVHcloud : malgré le mot commun « cloud », ce n'est pas le même métier.

Infrastructure as a Service, au sens du NIST (SP 800-145). Le prestataire fournit les ressources de base virtualisées : machines virtuelles, stockage bloc ou objet, réseau virtuel, pare-feu. Le client garde la main sur tout le reste : système d'exploitation, intergiciels, environnements d'exécution, données et applications. Exemples : EC2 (AWS), Compute Engine (Google), vSphere et Cloud (VMware), Dedibox et Elements (Scaleway).

National Institute of Standards and Technology, agence fédérale américaine rattachée au département du Commerce. Sa publication SP 800-145 (2011) fixe la définition mondiale du cloud computing autour de cinq critères cumulatifs : self-service à la demande, accès réseau large, mutualisation des ressources, élasticité rapide, service mesuré. Une offre qui ne coche pas les cinq n'est pas du cloud au sens strict, mais de l'hébergement ou de l'infogérance. La définition reste la référence en 2026 ; aucune révision officielle de SP 800-145 ne l'a remplacée à cette date.

Platform as a Service, au sens du NIST (SP 800-145). Le prestataire gère l'infrastructure, l'environnement d'exécution et les intergiciels. Le client conserve son code, ses données et la configuration applicative, sans toucher au système ni au matériel sous-jacent. Exemples : Cloud Run (Google), Elastic Beanstalk (AWS), Heroku, Scalingo, Clever Cloud.

Software as a Service, au sens du NIST (SP 800-145). Le prestataire gère l'ensemble de la chaîne : infrastructure, plateforme et application. Le client se contente de configurer et d'utiliser le service, sans accès au code ni au système. Exemples : Microsoft 365, Google Workspace, Salesforce, Notion, Slack.

Qualification de sécurité délivrée par l'ANSSI (référentiel 3.2). Elle atteste qu'une offre cloud (IaaS, PaaS ou SaaS) atteint le plus haut niveau d'exigence technique, opérationnel et juridique, dont l'imperméabilité aux lois extraterritoriales. C'est une qualification (un visa de sécurité), pas une simple certification. La CNIL la considère comme le seul marqueur reconnu d'un cloud souverain ; la loi SREN (article 31) l'impose aux projets cloud de l'État pour les données sensibles.

Capacité d'une organisation ou d'un État à maîtriser ses données, ses traitements et ses dépendances technologiques, à l'abri des contraintes d'un droit étranger et du risque d'interruption imposé par un tiers. Elle ne se mesure pas à la nationalité d'une marque, mais à des propriétés vérifiables : droit applicable, localisation, conditions d'accès, réversibilité.