La véritable infrastructure décisive du XXIe siècle n’est ni un porte-avions naviguant dans le Pacifique, ni un silo à missiles enterré. Elle s’anime en silence à l’intérieur des murs d’un centre de données.
Ces vastes installations sont désormais au cœur du pouvoir militaire, de l’influence économique et du levier géopolitique. Conçues à l’origine sans penser à une époque marquée par la compétition entre grandes puissances, le sabotage cybernétique et les exigences croissantes de l’intelligence artificielle, elles présentent un point faible : leur importante consommation énergétique et leur vulnérabilité physique les rendent à la fois indispensables et fragiles.
Les centres de données ne sont plus de simples services commerciaux. Ce sont des éléments stratégiques. Les considérer comme tels impose d’élaborer doctrines, politiques et investissements à la hauteur de leur rôle dans le paysage du pouvoir mondial.
Nous verrons comment ces centres sont passés d’infrastructures commerciales à des actifs de sécurité nationale, pourquoi leur protection actuelle est insuffisante, et ce qu’il faut changer pour les renforcer dans un contexte de compétition globale accélérée.
La ligne de front numérique
Les opérations récentes illustrent une nouvelle réalité : les adversaires perçoivent l’infrastructure cloud comme un terrain opérationnel à conquérir et un point vulnérable à exploiter pour maximiser la perturbation stratégique.
En avril 2024, des hackers ukrainiens affiliés au groupe Blackjack et au Service de sécurité ukrainien ont détruit le centre de données OwenCloud.ru, supprimant 300 téraoctets de données et paralysant des opérations dans les secteurs russe de l’aérospatiale, du pétrole et gaz, des télécommunications, voire de la défense. Cette attaque faisait suite aux opérations russes visant l’infrastructure numérique ukrainienne, soulignant l’importance cruciale des menaces cybernétiques dans un conflit permanent entre États.
La Corée du Sud a créé son Defense Integrated Data Center, centralisant la gestion des systèmes informatiques de la défense nationale. Placé sous l’autorité directe du ministère de la Défense, il regroupe plus de mille systèmes issus de l’Armée de terre, la Marine, l’Armée de l’air et du ministère lui-même, remplaçant des centres dispersés par un pôle unique facilitant gestion et maintenance. Malgré cela, en 2016, des hackers nord-coréens ont réussi à infiltrer cet ensemble rationalisé, dérobant environ 235 Go de documents classifiés.
Fibre et feu
Au-delà du cyber, le risque d’attaques physiques sur ces infrastructures sensibles reste élevé, bien que peu d’incidents aient été observés jusqu’à présent. On peut imaginer des opérations similaires à l’Opération Spiderweb ukrainienne contre des centres de données ciblés. En 2021, un incendie dans un centre OVHcloud en France a montré les conséquences d’un sinistre physique : 3,6 millions de sites web sont devenus inaccessibles suite à une défaillance matérielle. Sans stratégies de redondance, un centre de données peut constituer un point de défaillance unique, provoquant des effets de cascade sur la société.
Les centres de données sont reliés par des câbles en fibre optique qui s’étendent mondialement, sous terre et sous la mer comme une gigantesque toile d’araignée. Ces câbles sous-marins sont aujourd’hui une cible croissante dans un contexte de tensions géopolitiques exacerbées. Des coupures suspectes ont eu lieu en mer Baltique près de la Suède en 2023 et 2024, attribuées à des manœuvres de bateaux russes, voire chinois. La Suède a mené une enquête et saisi un navire après ces incidents. Plus récemment, Taïwan a détenu un navire suspecté d’avoir détruit des câbles connectant les îles Penghu. Ces sabotages, sur terre comme en mer, se multiplient et imposent des coûts de plusieurs millions de dollars par incident. Par exemple, en 2006, un séisme à Taïwan avait détruit un grand nombre de câbles sous-marins, dont la réparation a duré 49 jours, affectant le commerce régional et les revenus des opérateurs.
Chaînes d’approvisionnement, IA et dilemme de l’industrie privée
Ces failles sont exacerbées par la domination d’acteurs privés comme Amazon, Microsoft, Oracle ou Google dans l’hébergement des charges critiques de sécurité nationale, dont le Joint Warfighting Cloud Capability du Département de la Défense américain. La doctrine militaire américaine vise la domination totale – sur terre, mer, air, espace et information – mais n’a pas encore établi de modèle opérationnel adapté à une infrastructure gérée par des entreprises à but lucratif. Cette lacune crée ambiguïtés juridiques, complexités d’approvisionnement et risques stratégiques, les capacités clés dépendant de contrats commerciaux plutôt que de la doctrine d’État. Dans ces conditions, les intérêts nationaux risquent d’être subordonnés aux exigences de disponibilité et de conformité transfrontalière imposées par le secteur privé.
L’essor rapide de l’intelligence artificielle a déplacé le champ de bataille des actifs militaires traditionnels vers l’infrastructure computationnelle, faisant des centres de données un enjeu de sécurité nationale majeur. Les pays investissent des milliards dans des installations hyperscale équipées de clusters GPU et de puces dédiées à l’IA, conscients que la puissance de calcul est désormais synonyme de puissance géopolitique. La capacité à augmenter les ressources et à maintenir l’entraînement continu des modèles détermine la supériorité dans les systèmes autonomes, la cyberguerre et l’innovation. Ceux qui ne sécurisent pas cette infrastructure risquent un retard économique et militaire, dépendant de ceux qui dominent la puissance de calcul.
La rivalité technologique s’exprime aussi par les tensions commerciales entre États-Unis et Chine. Les restrictions chinoises sur les exportations de minerais critiques perturbent les chaînes d’approvisionnement des développeurs américains de centres de données, retardant projets et alourdissant les coûts. Au-delà des terres rares, Pékin freine l’accès à d’autres matériaux essentiels et technologies de traitement, transformant la chaîne d’approvisionnement en arme stratégique. Ces éléments sont indispensables pour les semi-conducteurs, les systèmes de refroidissement, les composants électriques et l’infrastructure physique, accentuant la vulnérabilité des centres de données face aux évolutions globales.
Le besoin d’une doctrine
Il manque une doctrine qui considère les centres de données comme un terrain opérationnel à part entière. De la même manière que le concept AirLand Battle a évolué d’idées opérationnelles à doctrine formelle intégrant forces aériennes et terrestres, les États-Unis doivent développer une « doctrine du terrain numérique ». Celle-ci ne serait pas uniquement militaire, mais fruit d’une collaboration entre le Département de la Défense, les agences civiles et l’industrie privée. Affinée via le processus DOTMLPF (Doctrine, Organisation, Formation, Matériel, Leadership, Personnel, Installations), des simulations de guerre et des tests opérationnels, cette doctrine mêlerait opérations cyber, défense des infrastructures, systèmes de commandement cloud et risques cinétiques. Elle définirait responsabilités et principes opérationnels, intégrant dissuasion, redondance et capacités de riposte sur la frontière numérique-physique.
La reconnaissance des vulnérabilités progresse aux plus hauts niveaux. Le cadre Secure Cloud Business Applications de la Cybersecurity and Infrastructure Security Agency, ainsi que les évaluations détaillées du Government Accountability Office sur la technologie opérationnelle témoignent d’une prise de conscience. Mais aucun acteur n’est encore prêt face à la complexité et à la centralité croissante des centres de données au cœur des infrastructures mondiales. Ces installations représentent des cibles attrayantes et des points de pression stratégiques dans la compétition géopolitique et économique.
La doctrine digitale devra établir des concepts opérationnels concrets, considérant l’infrastructure cloud comme un espace de combat contesté. Elle fixera des exigences de résilience distribuée, telles que la redondance multi-cloud, des protocoles de basculement automatisés entre ressources commerciales et gouvernementales, et des capacités de « cloud bursting » permettant une montée en charge rapide en cas d’urgence. Un cadre de dissuasion computationnelle établira des seuils clairs d’escalade pour répondre aux attaques sur l’infrastructure cloud, différenciant intrusions cyber courantes et actes justifiant une réponse cinétique, tout en répartissant des capacités défensives parmi les réseaux alliés. La doctrine codifiera aussi les protocoles d’intégration public-privé : interfaces cloud normalisées, procédures de nationalisation d’urgence des ressources critiques, et standards de sécurité des chaînes d’approvisionnement imposant la production nationale des composants essentiels.
L’absence de cadres juridiques et stratégiques clairs pour les opérations cyber, notamment les actions préventives contre l’infrastructure cloud ennemie, crée une incertitude majeure. Des questions cruciales restent sans réponse : une frappe cyberpréventive sur un centre de données hyperscale chinois hébergeant l’entraînement d’IA militaire constitue-t-elle un acte de guerre, une mesure de dissuasion nécessaire, ou une réponse proportionnée à une guerre des chaînes d’approvisionnement ? Sans autorisations légales ni seuils opérationnels précis, ces décisions relèvent de la gestion de crise improvisée, risquant erreurs de calcul et escalades. La doctrine doit clarifier comment opérer légalement lorsque l’infrastructure cloud devient cible militaire légitime, définir des règles de proportionnalité pour répondre à des cyberattaques non cinétiques sur l’infrastructure numérique américaine, et distinguer entre infrastructures gouvernementales et clouds commerciaux abritant des capacités adverses. Cela nécessite une autorisation du Congrès pour certaines opérations cyberpréventives, une coordination internationale sur les normes concernant le ciblage des infrastructures cloud, et des règles d’engagement claires permettant aux commandants d’agir face à des crises sans consultations juridiques en temps réel.
Cette doctrine ne doit pas rester théorique. Elle doit être mise en œuvre rapidement par des exercices conjoints entre armée et industrie, l’autorisation législative d’autorités cyberpréventives, et la création d’une structure de commandement unifiée coordonnant les réponses numériques et physiques. Sans ce socle, la dépendance croissante des États-Unis envers le cloud constitue davantage un handicap stratégique qu’un levier de puissance.
Un cadre stratégique d’implémentation
Les centres de données sont passés d’infrastructures en arrière-plan à l’espace principal de la compétition du XXIe siècle, tandis que les États-Unis et leurs alliés restent en posture défensive. Une doctrine numérique complète imposerait des standards mesurables de résilience : des normes impératives de souveraineté des données, exigeant que les charges critiques gouvernementales soient hébergées dans des zones cloud renforcées sur le sol national ; des modèles de redondance cinétique répartissant la capacité de calcul dans des sites dispersés géographiquement, à l’abri des défaillances uniques ; et l’intégration de micro-réseaux pour garantir une alimentation durable en cas d’urgence nationale, lorsque le réseau électrique classique est perturbé. Ces critères doivent être intégrés aux politiques d’achat fédérales, étendus aux infrastructures alliées via des accords conjoints de cyberdéfense, et appliqués par des partenariats public-privé hybrides conciliant innovation commerciale et contrôle stratégique. Sans cadre concret de mise en œuvre, la dépendance américaine croissante en calcul restera une vulnérabilité stratégique exploitée par les rivaux au lieu d’un avantage compétitif. La question n’est plus de savoir si les centres de données doivent figurer dans la planification de la sécurité nationale, mais si nous les protégerons avant ou après que la prochaine crise ne nous y force.
Alex Rough est ingénieur systèmes cloud et auteur. Son travail porte sur les liens entre infrastructures numériques, environnement, sécurité nationale et compétition stratégique. Il évolue dans le secteur des centres de données depuis plus de dix ans et a été présenté dans un documentaire de la BBC sur l’impact environnemental des centres de données. Il réside dans la région de Washington, D.C.