Toutes les actualités
Souveraineté2 avril 202610 min

Cloud Act et SIEM US : pourquoi vos logs ne sont jamais vraiment chez vous

Microsoft a admis en juillet 2025 ne pas pouvoir garantir la confidentialité de ses clients européens face à un mandat US. Si votre SIEM est Splunk Cloud, Sentinel, Chronicle ou Elastic SaaS US, vos logs sont sous Cloud Act.

Datacenter EU dont les logs partent vers les autorités US

Cloud Act : pourquoi votre SIEM US peut être obligé de transmettre vos logs aux autorités américaines

TL;DR — En juillet 2025, Microsoft a admis publiquement devant le Sénat français qu'elle « ne peut pas garantir » la souveraineté des données de ses clients européens face au Cloud Act US. Cette loi de 2018 oblige toute entreprise de droit américain à fournir aux autorités US les données qu'elle contrôle, même si elles sont hébergées en Europe. Concrètement : si votre SIEM est Splunk, Microsoft Sentinel, Sumo Logic, Elastic Security cloud, Datadog, vos logs sont juridiquement accessibles à la NSA, au FBI, au DOJ — sans votre consentement, sans votre information, sans recours européen possible.

Ce qu'est le Cloud Act, en termes simples

CLOUD Act = Clarifying Lawful Overseas Use of Data Act, signé par Donald Trump en mars 2018.

L'esprit du texte : permettre aux autorités américaines (FBI, DOJ, agences fédérales) d'obtenir des données stockées à l'étranger dès lors qu'elles sont « sous le contrôle » d'une entreprise de droit américain. Le critère n'est pas la localisation physique du serveur. Le critère est la nationalité de l'entreprise qui contrôle les clés.

Conséquence : si vous êtes une mairie française qui utilise Microsoft Sentinel hébergé sur un datacenter Azure France Central :

  • Vos logs sont physiquement en France.
  • Microsoft Corporation (Redmond, USA) peut être contraint par mandat US de les fournir au FBI ou au DOJ.
  • Microsoft France n'a pas le pouvoir de refuser à la place de Microsoft Corporation.
  • Vous, client, n'êtes pas notifié (gag order possible).
  • Vos recours juridiques européens sont inefficaces car Microsoft Corp est aux US.

L'aveu Microsoft de juillet 2025

Le 10 juillet 2025, devant la commission d'enquête du Sénat français sur la souveraineté numérique, Anton Carniaux, directeur juridique Microsoft France, a déclaré sous serment : « Je ne peux pas garantir » que les données des clients français hébergées sur Azure ne seraient pas transmises aux autorités américaines en cas de demande sous le Cloud Act.

C'est une rupture historique. Pendant des années, les fournisseurs cloud US ont vendu en Europe avec un argument central : « vos données sont en Europe, donc protégées par le RGPD, donc inaccessibles aux US ». Microsoft vient de reconnaître publiquement que ce n'est pas vrai juridiquement.

OVHcloud, qui a une activité aux US, a fait la même admission par écrit dans ses conditions générales : « OVHcloud will comply with lawful requests from public authorities. Under the CLOUD Act, that could include data stored outside of the United States ».

Le cas particulier du SIEM : pourquoi c'est encore pire

Un SIEM (Splunk, Sentinel, Elastic, Sumo Logic, Datadog…) ne contient pas n'importe quelles données. Il contient :

Type de donnéesSensibilité
Logs d'authentification AD/Entra (qui se connecte, depuis où, à quoi)Critique — cartographie complète des accès
Logs réseau (DNS, proxy, firewall)Très élevée — qui parle à qui sur Internet
Logs EDR (processus exécutés, fichiers ouverts, registry)Très élevée — comportement utilisateur fin
Alertes SOC (incidents, règles déclenchées)Élevée — points de faiblesse de votre SI
Données métiers fuites alertées (DLP, mailboxes scannées)Critique — contenu des communications

Autrement dit : votre SIEM contient une carte temps-réel de tout ce qui se passe dans votre organisation. C'est exactement le genre de données qu'un service de renseignement étranger voudrait obtenir. Et c'est exactement le genre de données qu'un mandat Cloud Act peut viser.

Pour quels secteurs c'est immédiatement disqualifiant

Santé (HDS V2)

La certification HDS V2 impose un hébergement par un prestataire certifié. Microsoft Azure France a été certifié HDS — mais cette certification ne neutralise pas le Cloud Act. Plusieurs hôpitaux français qui utilisent Azure pour héberger leurs SIEM/EDR sont aujourd'hui dans une zone grise juridique : conformes HDS sur le papier, exposés au Cloud Act dans les faits.

Défense, OIV, OSE

Les Opérateurs d'Importance Vitale (OIV) et les Opérateurs de Services Essentiels (OSE) sous LPM/NIS2 ont une obligation de souveraineté étendue. Utiliser un SIEM US pour ces périmètres est de plus en plus considéré comme une non-conformité substantielle par l'ANSSI.

Collectivités locales

Beaucoup de collectivités ont basculé sur Microsoft 365 + Sentinel pour des raisons budgétaires. Or, les données des administrés (état civil, social, scolaire) sont des données personnelles sensibles. Un mandat Cloud Act pourrait théoriquement obtenir ces données — incompatible avec les missions régaliennes de la collectivité. C'est précisément le périmètre de notre offre dédiée aux collectivités et secteur public.

Avocats, magistrats, professions à secret professionnel

Le secret professionnel français est inopposable au Cloud Act. Un avocat français qui héberge sa messagerie sur Microsoft 365 risque, en théorie, de voir ses échanges protégés par le secret transmis à un tribunal US.

Les fausses solutions

« Nos serveurs sont en Europe »

Faux confort. Le critère du Cloud Act n'est pas la localisation, c'est le contrôle.

« Microsoft Cloud for Sovereignty »

Microsoft a lancé en 2023 une offre dite « souveraine ». Un audit indépendant (juin 2024) a montré que l'offre continuait de relier les données à Microsoft Corp via les comptes admin. Insuffisant.

Bleu, S3NS (Thales/Capgemini × Google)

Tentatives français de cloud "souverain" basés sur des techs US (Microsoft Azure pour Bleu, Google pour S3NS), avec gouvernance française. L'ANSSI a refusé de leur donner SecNumCloud parce que la dépendance à la techno US reste une faille structurelle.

Chiffrement client-side avec clés en France

Bonne pratique, mais : le SIEM doit lire les logs pour les corréler. S'il ne peut pas les déchiffrer, il ne peut pas faire son métier. Donc cette défense ne fonctionne pas pour le SIEM lui-même.

La solution réelle : un SIEM/SOC opéré par une entité 100 % de droit européen

Pour neutraliser le Cloud Act, trois conditions cumulatives :

  1. Entité opératrice 100 % française ou européenne (pas une filiale d'un groupe US, pas une joint venture avec un groupe US).
  2. Hébergement en Europe par un prestataire 100 % européen (Unitel, OVHcloud activité EU pure, Scaleway, 3DS Outscale).
  3. Personnel opérationnel européen soumis à des obligations européennes (RGPD, secret professionnel, secret défense le cas échéant).

Si une de ces 3 conditions est manquante, vous n'êtes pas souverain juridiquement, peu importe le marketing.

Comment UniSOC est conçu pour le Cloud Act

CritèreUniSOC
Société opératriceSAS française, pas de filiale US, pas de capital US
HébergementUnitel, France, certifié HDS V2 + ISO 27001:2022
Personnel SOC100 % France, contrats français, soumis RGPD + secret pro
Stack techniqueLLM on-premise (Ollama Sylink2:27b), pas d'API OpenAI/Anthropic, pas de Snowflake, pas de Splunk Cloud
Code source agentSylink-EDR publié sur GitHub (PR #1, repo public sur demande)
BackupsRéplication France ↔ France, pas de cross-Atlantic

Concrètement : un mandat Cloud Act adressé à UniSOC est inopposable parce que nous ne sommes pas une entité de droit américain et que nous n'avons aucun contrôle sur des entités américaines. Un mandat français passerait par les voies légales habituelles (réquisition judiciaire), avec contrôle de proportionnalité par un juge. C'est l'un des engagements structurels de la plateforme SOC managé UniSOC.

Ce que vous pouvez faire dès aujourd'hui

1. Cartographiez vos dépendances US dans la chaîne SOC

Liste exhaustive : SIEM, EDR, threat intel, sandbox, DNS sécurisé, SSO, gestionnaire de credentials, IaC tooling, cloud d'hébergement. Pour chaque ligne : société de droit américain ? oui/non.

2. Pondérez chaque dépendance par sa criticité

EDR avec accès kernel + données de comportement utilisateur → criticité 5/5. Outil de scan vulnérabilités → criticité 2/5.

3. Plan de migration progressive

Inutile de tout migrer en 6 mois. Mais à chaque renouvellement de contrat, demander une alternative souveraine et la comparer techniquement. Beaucoup de RSSI sont surpris du niveau atteint par les acteurs souverains 2024-2026.

4. Documentez votre exposition Cloud Act dans votre PIA / DPIA

Le RGPD exige une analyse d'impact pour les traitements à risque. L'exposition Cloud Act est un risque RGPD documentable que la CNIL prend désormais en compte.

Conclusion

Le Cloud Act n'est pas une menace théorique. C'est une réalité juridique active depuis 2018, publiquement reconnue par Microsoft en juillet 2025, et systématiquement ignorée par 90 % des achats SOC en France parce qu'elle est inconfortable.

Si votre SIEM est exploité par une société de droit américain, vos logs sont juridiquement accessibles aux autorités US. Point. C'est une vérité technique et juridique, pas une opinion politique.

La question pour 2026 n'est plus « est-ce que c'est possible ? » mais « pourquoi je continue à accepter ce risque ? ».

À lire aussi : HDS, SecNumCloud, RGPD : décryptage 2026 et Hébergement HDS chez Unitel.


Vous voulez quantifier votre exposition Cloud Act ? Demandez notre audit Cloud Act gratuit → — cartographie de vos dépendances US, score d'exposition, plan de remédiation, en 5 jours ouvrés.

Sujets abordés

cloud actsiem souverainfisa 702siem us cloud act

Gestion des cookies

Nous utilisons des cookies pour améliorer votre expérience sur notre site. En continuant à naviguer, vous acceptez notre politique de confidentialité et notre utilisation des cookies conformément au RGPD.