PaaS
En bref
Tu ne loues plus des machines mais une plateforme prête à exécuter ton code. Tu déposes ton application, et le prestataire s'occupe du reste : système, environnement d'exécution, base de données, montée en charge.
▶ Définition précise
Platform as a Service, au sens du NIST (SP 800-145). Le prestataire gère l'infrastructure, l'environnement d'exécution et les intergiciels. Le client conserve son code, ses données et la configuration applicative, sans toucher au système ni au matériel sous-jacent. Exemples : Cloud Run (Google), Elastic Beanstalk (AWS), Heroku, Scalingo, Clever Cloud.
Notre analyse
Le PaaS est l’étage où les équipes techniques gagnent en vélocité au prix d’une dépendance accrue. On livre plus vite parce qu’on cesse de gérer les serveurs, mais on s’attache aux choix du prestataire, à ses formats, à ses services managés.
Sur la souveraineté, deux risques se cumulent. Le premier reste la juridiction de l’opérateur, comme à tous les étages. Le second est propre au PaaS : la portabilité du code est rarement garantie. Une application écrite pour Cloud Run ne se redéploie pas ailleurs sans réécriture, parce qu’elle s’est appuyée sur des conventions et des services spécifiques à la plateforme. C’est le verrouillage applicatif, distinct du verrouillage des données : on peut rapatrier ses données et rester pourtant incapable de faire tourner son application hors de la plateforme d’origine.
C’est aussi l’étage où les qualifications souveraines sont les plus rares et les plus récentes. Qualifier un IaaS revient à attester un socle ; qualifier un PaaS impose d’attester en plus tout l’environnement d’exécution managé, surface bien plus large. S3NS a qualifié IaaS et PaaS simultanément en décembre 2025, ce qui en fait un jalon plutôt qu’une routine.
Voir aussi