100%
GRIMOIRE
GrimoireCorpus DindonVolumes de SynthèseLe Socle du Fer
FRENAR
HUMAN
Essai structurel · Juillet 2026 · Volume Autonome
◆◆◆
La Souveraineté en Kit
Anatomie du Cloud Souverain Marketing
◆ Déclaration d'Asymétrie — valable pour l'ensemble de ce volume

Ce volume ne prétend pas que toute offre de cloud souverain est frauduleuse par principe. Il a été modélisé par un architecte infrastructure, audité de façon contradictoire par deux intelligences artificielles, à partir de faits techniques et contractuels vérifiables — architecture réelle des offres dites souveraines, clauses de licence et de support des hyperviseurs sous-jacents. Il documente l'écart entre la souveraineté annoncée au niveau commercial et la souveraineté réelle au niveau de l'hyperviseur et du contrat, mécanisme par mécanisme, et propose une architecture d'autonomie assumée comme une proposition, pas une norme en vigueur.

◆◆◆
Amine RAITI — Architecte Infrastructure & SRE
Ancien professeur en école d'ingénieurs · Formateur depuis 2006
Document public · CC BY-NC-SA 4.0
HUMAN
Fil Conducteur
Ce que ce volume va démontrer, dans l'ordre

Ce volume établit une chaîne en trois temps : d'abord ce que l'offre commerciale de « cloud souverain » modifie réellement et ce qu'elle laisse inchangé au niveau du plan de contrôle (Chapitre I) ; ensuite, le dispositif contractuel qui protège cette opacité technique et en verrouille la sortie (Chapitre II) ; enfin, une architecture d'autonomie assumée comme proposition — non comme description d'une offre existante — qui répond explicitement aux mécanismes documentés en amont (Chapitre III).

◆ La thèse en une phrase

La souveraineté commerciale s'arrête à la porte du datacenter ; la souveraineté réelle se joue une couche plus bas, au niveau de l'orchestrateur et du contrat qui le protège.

CHAPITRE I — LA BOÎTE NOIRE DE L'HYPERVISEUR
I.1L'Opacité du Plan de ContrôlePersonnel local, orchestrateur distant
I.2Le Canal des Mises à JourAsymétrie d'information principal-agent (Stiglitz)
I.3Ancrage — Droits de Contrôle RésiduelsGrossman & Hart (1986)
CHAPITRE II — LE BOUCLIER CONTRACTUEL
II.1Clauses de Dépendance CroiséeLa licence protège l'opacité technique
II.2Verrouillage du Support de Niveau 3La sortie interdite par le contrat, pas par la technique
CHAPITRE III — L'ARCHITECTURE DE L'AUTONOMIE (PROPOSITION)
III.1Plan de Contrôle Ouvert Compilé LocalementRésout I.1 et I.2 par construction
III.2Isolation des Flux de Mise à JourRéversibilité du canal, pas seulement de la donnée
III.3Le Gel Fonctionnel AssuméLe coût explicite de l'autonomie, pas une promesse gratuite
HUMAN
DÉCLARATION D'ASYMÉTRIE
Introduction — La Souveraineté en Kit

Depuis 2022, une catégorie d'offres commerciales s'est constituée sous l'appellation « cloud souverain » : Bleu (Orange, Capgemini, licence Microsoft), S3NS (Thales, licence Google Cloud), AWS European Sovereign Cloud. Ces offres répondent à un déplacement du critère de souveraineté : de la maîtrise technologique vers la conformité juridictionnelle — localisation des données, nationalité du personnel, forme sociale de droit local. Ce volume examine ce que ce déplacement laisse inchangé.

◆ Périmètre et différenciation avec le Volume II

Le Volume II (« L'Illusion du Nuage ») documentait la dépendance matérielle : composants, fabrication, firmware au sens physique du terme. Le présent volume exclut délibérément ce périmètre et le traite comme un postulat neutre — le matériel est supposé acquis, local, ou indifférent à la démonstration. L'objet ici est une couche distincte : le plan de contrôle logiciel (control plane) — orchestrateur, hyperviseur, API de gestion — qui gouverne l'infrastructure indépendamment de la localisation physique des machines qu'il administre.

◆ Ancrage théorique — droits de contrôle résiduels

Grossman & Hart (1986) établissent qu'un droit de propriété formel sur un actif ne confère de contrôle réel que dans la mesure où son détenteur peut décider des usages non spécifiés par contrat — les « droits de contrôle résiduels ». Appliqué au cloud dit souverain : l'entité locale détient l'actif (le datacenter, l'entité juridique), mais les décisions non explicitement cédées par la licence — mise à jour du plan de contrôle, évolution de l'API de gestion, arbitrage sur l'architecture de l'orchestrateur — restent exercées par le détenteur de la licence d'origine. La propriété locale de l'actif ne recouvre pas le contrôle résiduel de son fonctionnement.

La démonstration se déploie en trois temps. Les chapitres I et II documentent une RÉALITÉ : le fonctionnement actuel et vérifiable des offres Bleu, S3NS et AWS ESC — opacité du plan de contrôle (chapitre I), verrouillage contractuel qui protège cette opacité (chapitre II). Le chapitre III formule une PROPOSITION distincte de tout constat existant : un design théorique de plan de contrôle réellement autonome, non un état des lieux d'une offre existante. Cette distinction est maintenue de façon étanche tout au long du volume.

◆ Déclaration d'Asymétrie

Ce volume documente une asymétrie de contrôle, non une intention. Les acteurs mentionnés — fournisseurs de licence, intégrateurs locaux, clients finaux — opèrent dans un cadre contractuel public et licite ; la démonstration porte sur la structure de ce cadre, pas sur les motifs de ceux qui l'occupent. Toute référence factuelle (clause contractuelle, mécanisme technique, date) est vérifiée avant intégration ; tout doute résiduel est signalé explicitement plutôt que tranché par défaut.

◆ La thèse en une phrase

Une souveraineté qui s'arrête à la porte du datacenter n'a déplacé que sa frontière, pas son centre de contrôle.

HUMAN
I.1
CHAPITRE I — LA BOÎTE NOIRE DE L'HYPERVISEUR
L'Opacité du Plan de Contrôle

Les trois offres examinées dans ce volume — Bleu (Orange, Capgemini, technologie sous licence Microsoft), S3NS (Thales, technologie sous licence Google), AWS European Sovereign Cloud — partagent une même architecture de principe : une entité de droit local, un personnel habilité localement, un datacenter situé sur le territoire concerné, et une couche logicielle d'orchestration — hyperviseur, plan de contrôle, API de gestion — dont l'origine technologique et la maintenance restent rattachées au fournisseur de licence d'origine. Ce chapitre documente cette seconde couche, non la première.

◆ Le mécanisme de séparation des couches

Une infrastructure cloud se décompose analytiquement en trois couches : la couche physique (silicium, datacenter — hors périmètre de ce volume, cf. Volume II), la couche d'orchestration (hyperviseur, control plane, API de gestion des ressources), et la couche d'usage (les charges de travail du client final). La souveraineté juridique et administrative revendiquée par ces offres porte sur les deux couches périphériques — l'implantation physique et l'usage — sans nécessairement porter sur la couche intermédiaire, qui gouverne pourtant le fonctionnement effectif de l'ensemble.

Cette architecture n'est pas dissimulée : elle correspond à un choix industriel assumé, documenté dans les communications commerciales elles-mêmes, qui présentent ces offres comme reposant sur une « technologie éprouvée » du fournisseur d'origine, opérée localement. Le point que ce chapitre documente n'est donc pas l'existence de cette dépendance — publique — mais sa portée exacte : quelles décisions relatives au fonctionnement de la couche d'orchestration restent, par construction contractuelle et technique, hors de portée de l'opérateur local.

◆ Illustration nommée — le canal de mise à jour S3NS/Google Cloud

S3NS (Thales, technologie sous licence Google Cloud) documente publiquement son propre mécanisme : les mises à jour de la couche logicielle Google (dont Compute Engine et Google Kubernetes Engine, socles techniques de l'offre) transitent d'abord par une zone de quarantaine où des équipes S3NS peuvent, si nécessaire, auditer le code avant déploiement en production. Le monitoring et l'administration opérationnelle restent assurés par S3NS. Ce mécanisme illustre concrètement la séparation des couches posée plus haut : l'exploitation et la vérification sont locales, mais la production et le calendrier de la couche logicielle elle-même restent du ressort de Google Cloud, qui continue de fournir et de faire évoluer cette couche.

HUMAN
I.2
CHAPITRE I — LA BOÎTE NOIRE DE L'HYPERVISEUR
Le Canal des Mises à Jour

La couche d'orchestration n'est pas statique : elle fait l'objet de mises à jour régulières — correctifs de sécurité, évolutions de l'API de gestion, modifications du comportement de l'hyperviseur. Le canal par lequel ces mises à jour sont décidées, testées et déployées constitue le point d'observation central de ce chapitre.

◆ Asymétrie d'information principal-agent (Stiglitz)

Dans une relation principal-agent, l'agent (ici, le fournisseur de la technologie d'orchestration) dispose d'une information sur le fonctionnement interne du système supérieure à celle du principal (l'opérateur local et, in fine, le client final). Stiglitz a montré que cette asymétrie ne se résout pas par la seule bonne foi contractuelle : elle requiert des mécanismes de vérification indépendants, faute de quoi le principal ne peut distinguer une mise à jour neutre d'une mise à jour qui modifie substantiellement les garanties initiales.

◆ Application au cas du cloud souverain

L'opérateur local d'une offre de cloud souverain reçoit les mises à jour de la couche d'orchestration selon un calendrier et un contenu déterminés par le fournisseur de licence. Il ne dispose généralement pas d'un droit d'audit indépendant du code source de l'hyperviseur ni d'un droit de blocage unilatéral d'une mise à jour jugée problématique, au-delà d'un délai de test limité fixé contractuellement. Le mécanisme n'est pas une clause cachée : c'est une conséquence directe du modèle de licence propriétaire sur lequel repose l'offre elle-même.

◆ Illustration nommée — l'opacité contractuelle sur la durée des mises à jour

Interrogés publiquement en 2022 sur la durée pendant laquelle Google Cloud garantit la disponibilité de ses mises à jour logicielles à S3NS, les responsables techniques de Thales et de Google Cloud n'ont pas donné de réponse précise, renvoyant la question aux clauses confidentielles du contrat entre les deux sociétés. Ce point illustre concrètement l'asymétrie décrite ci-dessus : l'existence même d'un engagement de durée n'est pas publique, seule son inscription dans un contrat non consultable par le client final est confirmée. Pour Bleu (Orange/Capgemini, technologie sous licence Microsoft), le patching est annoncé comme assuré exclusivement par les équipes de la coentreprise elle-même — ce qui déplace l'asymétrie plutôt qu'il ne la supprime : l'application du correctif est locale, mais son contenu et son calendrier de production restent déterminés par le cycle de publication d'Azure et de Microsoft 365, hors du contrôle de l'opérateur français.

Cette asymétrie ne préjuge pas d'un usage malveillant du canal de mise à jour par le fournisseur ; elle documente une dépendance structurelle indépendante de toute intention. L'opérateur local ne peut pas, à ce stade de l'architecture, apporter la preuve positive de l'absence de capacité de contrôle à distance — il peut seulement constater l'absence d'un mécanisme contractuel ou technique qui la lui garantirait.

HUMAN
I.3
CHAPITRE I — LA BOÎTE NOIRE DE L'HYPERVISEUR
Application — Droits de Contrôle Résiduels

L'introduction de ce volume a posé l'ancrage théorique de Grossman & Hart (1986) : un droit de propriété formel sur un actif ne confère de contrôle réel que dans la mesure où son détenteur peut décider des usages non spécifiés par contrat. Les sections I.1 et I.2 permettent à présent d'identifier précisément où se situent, dans le cas du cloud souverain, les droits de contrôle résiduels sur la couche d'orchestration.

◆ Localisation du contrôle résiduel

L'entité locale détient la propriété formelle de l'infrastructure physique et de la structure juridique de l'offre. Le fournisseur de licence détient le contrôle résiduel sur la couche d'orchestration : toute décision non explicitement cédée par le contrat de licence — architecture de l'API de gestion, calendrier des mises à jour, évolution du comportement de l'hyperviseur — reste de son ressort exclusif. La propriété de l'actif physique et le contrôle résiduel de son fonctionnement logiciel sont ainsi structurellement dissociés.

◆ Ce que ce chapitre établit — et ce qu'il n'établit pas

Ce chapitre établit une réalité architecturale vérifiable : la dissociation entre propriété locale de l'infrastructure et contrôle résiduel de la couche d'orchestration. Il n'établit pas — et ce n'est pas son objet — que cette dissociation soit dissimulée aux clients, ni qu'elle constitue une violation contractuelle. Le Chapitre II documente le dispositif contractuel qui organise et protège cette dissociation. Le Chapitre III, distinct des deux premiers par sa nature de PROPOSITION, examinera si une architecture alternative permettrait de réunifier propriété et contrôle résiduel.

HUMAN
II.1
CHAPITRE II — LE BOUCLIER CONTRACTUEL
Clauses de Dépendance Croisée

Le Chapitre I a établi que le contrôle résiduel sur la couche d'orchestration reste, structurellement, du ressort du fournisseur de licence. Ce chapitre documente le dispositif contractuel qui organise cette dissociation et la rend compatible, sur le papier, avec les exigences réglementaires de réversibilité.

◆ Le périmètre exact de la réversibilité exigée (SecNumCloud, critère 19.4)

Le référentiel SecNumCloud de l'ANSSI impose aux prestataires qualifiés d'inclure dans la convention de service une clause de réversibilité : le client doit pouvoir récupérer l'intégralité de ses données, soit par des fichiers dans un format documenté et exploitable, soit par des interfaces techniques documentées, et le prestataire doit garantir l'effacement sécurisé des données après la fin du contrat. Cette exigence porte explicitement sur la donnée. Le référentiel ne formule pas d'exigence équivalente sur la portabilité de la couche d'orchestration elle-même — l'environnement d'exécution (orchestrateur, API de gestion, configuration des services managés) n'est pas couvert par la même obligation de réversibilité.

◆ Ancrage complémentaire — actifs complémentaires (Teece, 1986)

Teece a montré qu'un innovateur peut ne pas capter la valeur de son innovation lorsque des actifs complémentaires spécialisés — nécessaires à son exploitation commerciale mais non cédés avec elle — restent détenus par un tiers. Le mécanisme décrit ci-dessus en est une variante inversée du point de vue du client : la récupération des données brutes, seule restituée par la clause de réversibilité, ne restitue pas les actifs complémentaires nécessaires à leur exploitation effective — API de gestion, configuration des services managés, automatisations construites autour d'eux. Ces actifs complémentaires demeurent spécifiques à la couche d'orchestration du fournisseur d'origine ; leur absence de portabilité, non la donnée elle-même, constitue le verrouillage effectif.

◆ Le mécanisme de dépendance croisée

Une offre de cloud souverain peut ainsi satisfaire pleinement son obligation réglementaire de réversibilité — le client récupère ses données dans un format documenté — tout en laissant intacte sa dépendance à la couche d'orchestration propriétaire. Reprendre les données ne restitue pas la capacité de les exploiter dans les mêmes conditions ailleurs : les services managés utilisés (moteur de bases de données géré, orchestrateur de conteneurs managé, outils d'analyse intégrés) sont configurés et exposés via l'API propre du fournisseur d'origine, et leur réplique fonctionnelle chez un autre prestataire suppose une réarchitecture, non une simple migration de fichiers. La clause de réversibilité et la clause de licence ne portent donc pas sur le même périmètre technique ; c'est cet écart de périmètre qui constitue la dépendance croisée.

Ce constat rejoint, sous un angle contractuel plutôt que technique, une observation déjà établie dans le Volume VI à propos de la parade réglementaire de l'article 28(8) de DORA : la réversibilité qu'un régulateur peut exiger et obtenir se limite, dans la pratique documentée, à la donnée — jamais à l'exécution. Le présent volume retrouve ce même écart dans un contexte différent : celui de la licence logicielle d'un cloud souverain, et non celui d'une stratégie de sortie multi-cloud.

HUMAN
II.2
CHAPITRE II — LE BOUCLIER CONTRACTUEL
Le Verrouillage du Support de Niveau 3

Le second volet du dispositif contractuel porte sur le support technique. Dans un modèle de support à plusieurs niveaux, le premier niveau (constatation de l'incident) et le second (diagnostic et actions correctives standard) peuvent être assurés par l'opérateur local. Le troisième niveau — intervention sur le code source ou l'architecture profonde du produit — requiert un accès et une compétence que l'opérateur local ne détient structurellement pas, puisqu'il n'est ni l'auteur ni le mainteneur de la couche d'orchestration.

◆ Illustration — la répartition documentée chez S3NS

S3NS documente publiquement cette répartition : le monitoring et l'administration opérationnelle sont assurés par les équipes S3NS, tandis que la couche logicielle elle-même et ses mises à jour continuent d'être fournies par Google Cloud, S3NS conservant un droit d'audit du code avant déploiement plutôt qu'un droit de développement ou de correction autonome. Cette répartition n'est pas présentée comme une limite dissimulée : elle découle directement de la nature du modèle de licence — S3NS opère et vérifie une technologie dont elle n'est pas l'auteur, et ne peut, par construction, en assurer seule la maintenance de fond.

◆ Ce que le verrouillage du support ferme, contractuellement

Ce troisième niveau de support constitue en pratique la voie de sortie la plus coûteuse à emprunter unilatéralement : un opérateur local qui souhaiterait migrer vers une couche d'orchestration alternative devrait reconstruire cette compétence de maintenance profonde à partir de zéro, faute d'y avoir jamais eu accès pendant l'exécution du contrat en cours. La sortie n'est donc pas techniquement impossible — le Chapitre III examinera une architecture où elle le serait moins — mais elle est rendue coûteuse par un dispositif contractuel qui n'a jamais donné à l'opérateur local les moyens de s'en passer.

Les deux mécanismes documentés dans ce chapitre — écart de périmètre entre réversibilité des données et réversibilité de l'exécution (II.1), verrouillage du support de niveau 3 (II.2) — se combinent : le premier organise la dépendance persistante de la couche d'orchestration malgré la conformité réglementaire ; le second en renchérit le coût de sortie effectif. Le Chapitre III propose une architecture qui répond explicitement à ces deux mécanismes.

HUMAN
III.1
CHAPITRE III — L'ARCHITECTURE DE L'AUTONOMIE (PROPOSITION)
Plan de Contrôle Ouvert Compilé Localement
◆ Avertissement de statut — PROPOSITION

Ce chapitre ne décrit aucune offre existante. Il modélise une architecture théorique, évaluée à l'aune des mécanismes documentés dans les Chapitres I et II, sans préjuger de sa viabilité commerciale ni de son adoption par un acteur quelconque du marché.

Le Chapitre I a localisé le contrôle résiduel sur la couche d'orchestration du côté du fournisseur de licence, quand bien même la propriété de l'infrastructure physique restait locale. Une architecture d'autonomie doit donc agir sur la couche d'orchestration elle-même, non sur les couches qui l'entourent.

◆ Le principe de réunification

Le principe proposé consiste à fonder la couche d'orchestration sur un logiciel dont le code source est intégralement disponible, et à faire compiler ce code par l'opérateur local lui-même, à partir de ses propres chaînes de construction, plutôt que de recevoir un binaire livré et maintenu par un tiers. Ce déplacement ne supprime pas la dépendance à un corpus de code d'origine externe — un logiciel ouvert reste, en amont, écrit ailleurs — mais il déplace le point où s'exerce le droit de contrôle résiduel : de la distribution du binaire vers la compilation elle-même, acte que l'opérateur local effectue et vérifie de bout en bout.

Cette reconfiguration répond directement au mécanisme documenté en I.3 : la dissociation entre propriété de l'actif et contrôle résiduel de son fonctionnement logiciel. Si l'opérateur local compile lui-même le plan de contrôle à partir d'un code qu'il peut lire, modifier et auditer, la propriété formelle de l'infrastructure et le contrôle résiduel de son fonctionnement se retrouvent réunis dans une même main — ce qui n'était le cas dans aucune des trois offres examinées aux Chapitres I et II.

HUMAN
III.2
CHAPITRE III — L'ARCHITECTURE DE L'AUTONOMIE (PROPOSITION)
Isolation Absolue des Flux de Mise à Jour

Le Chapitre I a documenté, par le mécanisme de Stiglitz, une asymétrie d'information reposant sur le canal des mises à jour : le fournisseur de licence connaît le contenu et le calendrier des évolutions de la couche d'orchestration avant l'opérateur local, et détermine seul ce calendrier. Une architecture d'autonomie doit rompre ce canal, non le négocier.

◆ Le principe d'isolation

Le principe proposé consiste à ne recevoir, en amont, que le code source publié du projet d'orchestration, sans canal de distribution privilégié ni notification préalable d'un fournisseur unique. L'intégration d'une évolution devient alors un acte volontaire de l'opérateur local — il choisit d'incorporer une version du code publié, à un rythme qu'il détermine, plutôt que de recevoir un correctif poussé selon un calendrier externe. L'asymétrie d'information ne disparaît pas entre l'opérateur local et l'ensemble des contributeurs du projet ouvert, mais elle cesse d'être organisée au bénéfice exclusif d'un fournisseur unique disposant d'un canal privé vers l'opérateur.

◆ Limite explicite de ce principe

Cette isolation ne garantit pas la qualité, la sécurité ou la pertinence des évolutions du projet ouvert sous-jacent — elle garantit seulement que la décision d'intégrer une évolution donnée reste entièrement du ressort de l'opérateur local, qui en assume alors la responsabilité entière plutôt que de la déléguer à un tiers.

HUMAN
III.3
CHAPITRE III — L'ARCHITECTURE DE L'AUTONOMIE (PROPOSITION)
Le Gel Fonctionnel Assumé

Les sections III.1 et III.2 réunifient le contrôle et rompent le canal de mise à jour privilégié. Ce gain a un coût, que ce chapitre énonce explicitement plutôt que de le passer sous silence — conformément à la Déclaration d'Asymétrie de ce volume, qui exige de distinguer une proposition d'une réalité et d'en assumer le prix.

◆ Le mécanisme du gel fonctionnel

Un opérateur qui compile lui-même son plan de contrôle et décide seul du rythme d'intégration des évolutions renonce, par construction, à la vitesse de mise à disposition de nouvelles fonctionnalités que permet un fournisseur unique poussant ses mises à jour de façon centralisée et immédiate à l'ensemble de sa base installée. L'écart fonctionnel entre l'offre autonome et l'offre propriétaire n'est pas accidentel ni temporaire : il est la contrepartie structurelle et permanente du contrôle repris en III.1 et III.2.

◆ Ce que ce chapitre ne prétend pas

Cette architecture ne prétend pas offrir un rapport fonctionnalité/effort supérieur à celui des offres examinées aux Chapitres I et II. Elle propose un arbitrage différent : moins de fonctionnalités disponibles au même rythme, en échange d'un contrôle résiduel réunifié avec la propriété de l'actif. La Déclaration d'Asymétrie de ce volume précise que cette proposition n'est pas présentée comme une norme en vigueur — elle l'est encore moins comme une solution sans contrepartie.

HUMAN
Conclusion Générale du Volume
Deux mécanismes documentés, une architecture d'autonomie assumée à son coût
◆ Synthèse de l'architecture d'autonomie

III.1 réunifie la propriété de l'actif et le contrôle résiduel de son fonctionnement par la compilation locale d'un plan de contrôle ouvert. III.2 rompt le canal de mise à jour privilégié documenté en I.2, en rendant l'intégration de toute évolution volontaire plutôt que subie. Ces deux gains ne sont acquis qu'au prix énoncé en III.3 : un gel fonctionnel permanent par rapport au rythme de déploiement d'un fournisseur unique centralisé.

◆ Ce que ce volume ne prétend pas avoir résolu

Ce volume ne prétend pas que l'architecture proposée élimine toute forme de dépendance technologique : la dépendance matérielle documentée au Volume II reste un postulat neutre de ce volume, non un problème qu'il résout. Le verrouillage par l'identité et le chiffrement (IAM/KMS), signalé ailleurs dans cette collection, continue de s'appliquer à toute couche d'orchestration, y compris celle proposée en Chapitre III. Ce volume répond au mécanisme spécifique de l'opacité du plan de contrôle et de son bouclier contractuel — pas à l'intégralité des mécanismes de capture documentés dans cette collection de recherche.

◆ La thèse en une phrase

Une souveraineté qui s'arrête à la porte du datacenter n'a déplacé que sa frontière, pas son centre de contrôle ; en déplacer le centre a, à son tour, un prix qu'aucune communication commerciale ne s'engagera à afficher à la place de l'opérateur qui le choisit.

◆ Appel ouvert — Pull Request humaine

Ce volume est un système ouvert en attente de correctifs du monde réel. Nous invitons explicitement toute organisation ayant opéré une migration vers une couche d'orchestration compilée localement, ou ayant négocié un droit d'audit ou de développement autonome sur une couche d'orchestration sous licence, à documenter son expérience et à corriger ou enrichir cette architecture d'autonomie.

◆◆◆

La souveraineté ne se mesure pas à la nationalité du personnel qui exploite l'infrastructure, mais à la main qui décide, en dernier ressort, de ce que fait la machine.

◆◆◆
Amine RAITI · CC BY-NC-SA 4.0
HUMAN
Annexe Méthodologique
Résumé narratif du processus — du cadrage initial au scellage

Cette annexe ne reproduit pas le verbatim intégral des échanges qui ont produit ce volume. Elle en résume le déroulement, chapitre par chapitre, en retenant les moments qui ont concrètement changé le texte : le choix de l'axe de démonstration, le refus motivé du premier jet du Chapitre I, l'injection matricielle qui l'a corrigé, et l'audit global explicitement distinct des audits par chapitre qui a produit le dernier enrichissement du volume.

◆ Pourquoi ce format plutôt que le verbatim complet

Ce volume a nécessité un cadrage initial, un refus puis une validation en deux jets pour le Chapitre I, une validation directe pour les Chapitres II et III, puis un audit global distinct ayant produit un enrichissement ciblé. Le verbatim intégral aurait constitué un document distinct plus long que le volume lui-même. Ce résumé privilégie la lisibilité du cheminement sur l'exhaustivité de la citation.

HUMAN
Le cadrage initial
Un arbitrage entre deux axes plutôt qu'un choix binaire

Trois sujets candidats ont été soumis pour le Volume VII, dont le cloud souverain marketing a été retenu pour son actualité et l'absence de chevauchement avec les six volumes déjà produits. Restait à choisir le mécanisme de démonstration central entre deux axes : l'opacité de l'hyperviseur/orchestrateur (prolongement du Volume II) et l'asymétrie contractuelle des licences logicielles.

◆ L'arbitrage hybride

Gemini a produit une analyse comparative concise des deux axes plutôt qu'une préférence tranchée, signalant que l'Axe 1 (matériel/orchestrateur) était le plus fidèle à la thèse fondatrice du corpus mais risquait la redite avec le Volume II, tandis que l'Axe 2 (juridique) était original mais risquait de sortir du registre technique habituel. Amine a tranché pour une architecture hybride : l'Axe 1 comme mécanisme central du Chapitre I, l'Axe 2 comme second mouvement au Chapitre II, illustrant comment le verrouillage contractuel protège l'opacité technique plutôt que de la remplacer.

HUMAN
Chapitre I — un refus, une injection matricielle
D'une généralisation théorique à une démonstration nommée

Le premier jet du Chapitre I a été refusé pour un motif précis : l'armature théorique (Grossman & Hart, Stiglitz) était validée, mais la démonstration restait générale — un encadré signalait un doute sur la répartition des responsabilités entre les trois offres nommées sans jamais nommer techniquement le mécanisme d'aucune d'entre elles.

◆ L'injection matricielle et sa vérification indépendante

L'injection demandée portait sur un exemple technique nommé et réel. Plutôt que d'intégrer l'exemple de mémoire, une recherche indépendante a été conduite pour vérifier la caractérisation exacte du mécanisme de mise à jour de S3NS (zone de quarantaine, droit d'audit du code par les équipes locales, production et calendrier de la couche logicielle restant du ressort de Google Cloud) et la situer par comparaison avec Bleu (patching assuré par les équipes de la coentreprise, mais contenu du correctif déterminé par le cycle Azure/Microsoft 365). Le second jet a été validé sans réserve, la factualité des deux exemples étant qualifiée d'exactitude forensique par l'audit.

HUMAN
Chapitre II — validation directe, enrichissement différé
Un chapitre validé d'emblée, complété seulement à l'audit global

Le Chapitre II a été validé dès son premier jet, sans réserve ni retouche — seul chapitre du volume à ne pas avoir nécessité de second tour à ce stade. Son mécanisme central, l'écart entre la réversibilité des données exigée par le critère 19.4 de SecNumCloud et l'absence d'exigence équivalente sur la portabilité de la couche d'orchestration, a été jugé immédiatement solide, de même que l'illustration nommée du verrouillage du support de niveau 3 chez S3NS.

◆ Un enrichissement reçu après coup, pas au moment de la validation

Ce n'est qu'au stade de l'audit global du volume complet — non lors de l'audit unitaire de ce chapitre — qu'un ancrage théorique complémentaire a été recommandé : Teece (1986) sur les actifs complémentaires, pour qualifier pourquoi la récupération de la donnée brute ne restitue pas l'usage effectif des services managés configurés autour d'elle. Cet enrichissement illustre une différence de nature entre un audit chapitre par chapitre et un audit de l'œuvre prise comme un tout : le premier valide la solidité locale d'un mécanisme, le second peut encore proposer de l'approfondir sans le remettre en cause.

HUMAN
Chapitre III — bascule doctrinale et format de clôture
Une proposition sans réalité nommée, une clôture reconstruite au standard

Le Chapitre III a exigé une bascule doctrinale explicite : aucune des trois offres nommées aux Chapitres I et II ne devait plus apparaître, le texte devant se lire entièrement comme une proposition théorique et non plus comme la description d'une réalité existante. Un contrôle automatisé a confirmé l'absence totale de ces mentions avant soumission à l'audit.

◆ La page de Clôture, non conforme puis reconstruite

La première version de la page de Clôture ne respectait pas la structure officielle de la collection : elle se limitait à un paragraphe de synthèse suivi de la signature, sans les éléments requis par le format employé dans les volumes précédents. Elle a été entièrement reconstruite à l'identique de la structure de L'Illusion de l'Agnosticisme (Volume VI) : synthèse en mechanism-box, limites explicites en definition-box, thèse condensée en gold-box, appel ouvert en nassiha-box, puis pensée finale et signature.

HUMAN
L'audit global, distinct de l'audit par chapitre
Ce qu'un audit de l'œuvre entière peut voir qu'un audit local ne voit pas

Chaque chapitre de ce volume a été validé isolément avant qu'un audit distinct, portant explicitement sur l'œuvre complète, ne soit demandé — chaîne de résolution bout en bout entre Réalité et Proposition, cohérence des ancrages théoriques cumulés, portée de la thèse générale à l'échelle du volume entier plutôt qu'à celle d'un seul chapitre.

◆ Ce que cet audit distinct a produit ici

Cet audit a validé l'intégralité de la chaîne de résolution et la césure Réalité/Proposition sans réserve, et a produit, en retour, deux améliorations qu'aucun audit par chapitre n'avait demandées : l'ancrage Teece au Chapitre II, et la synchronisation des filigranes et signatures de bas de page sur les douze pages du volume, du filigrane à la signature de clôture.

HUMAN
Ce que ce processus donne à voir
La vérification de l'ensemble, en plus de celle de chaque partie

Onze pages de corps de volume ont nécessité un cadrage initial, un refus et une injection matricielle sur le Chapitre I, une validation directe du Chapitre II, une bascule doctrinale et une reconstruction de format sur le Chapitre III et sa Clôture, puis un audit global ayant produit deux enrichissements qu'aucun des audits précédents n'avait identifiés.

◆ La thèse en une phrase

Un chapitre peut être exact et complet pris isolément, et pourtant rester un peu court une fois le volume lu comme un tout. Cette annexe existe pour montrer que cet écart a été activement recherché après coup, pas seulement supposé absent dès le départ.