Une frappe inédite contre une infrastructure cloud civile
Le 1er mars 2026, des objets non identifiés ont frappé un centre de données AWS aux Émirats arabes unis. L'attaque a provoqué un incendie, des coupures d'alimentation et des dysfonctionnements des systèmes anti-incendie du site. C'est la première frappe physique connue contre un datacenter commercial d'envergure mondiale.
Des installations d'Oracle à Dubaï et un autre site AWS à Bahreïn ont également subi des dommages dans la même période. Les frappes s'inscrivent dans un contexte de tensions extrêmes entre l'Iran, les États-Unis et Israël au Moyen-Orient. Téhéran avait publiquement menacé les géants technologiques américains présents dans la région, en raison de leur soutien supposé à l'appareil militaire américain.
Microsoft, Google et Nvidia figuraient eux aussi explicitement dans les avertissements iraniens. La question de la vulnérabilité physique des centres de données, longtemps reléguée derrière la cybersécurité, s'impose désormais comme une priorité stratégique. Cette réalité a d'ailleurs conduit plusieurs acteurs à revoir leurs critères de localisation, comme l'illustrent les projets en cours sur les zones d'implantation datacenter en Île-de-France, jugées plus stables géopolitiquement.
Brad Smith exige un statut de protection internationale
Le 4 avril 2026, Brad Smith, président de Microsoft, a pris la parole dans un entretien accordé au Nikkei. Il y a qualifié l'attaque d'Abu Dhabi de tournant historique, marquant le passage des cybermenaces aux attaques dites cinétiques, c'est-à-dire physiques.
Sa demande est claire : les centres de données doivent être reconnus comme des infrastructures civiles protégées par le droit international humanitaire, au même titre que les hôpitaux ou les réseaux d'eau potable. Aujourd'hui, aucun traité n'offre une telle protection explicite aux datacenters. Brad Smith milite pour combler ce vide juridique en urgence.
En attendant, Microsoft a annoncé repenser la conception de ses sites dans les zones à risque géopolitique. Des versions dites "bit bunkers", renforcées contre les frappes physiques, sont à l'étude pour les déploiements dans les régions sensibles. La stratégie repose également sur une redondance accrue entre plusieurs régions géographiques, afin de garantir la continuité de service même en cas de destruction partielle d'un site. Ce débat rejoint d'ailleurs celui ouvert en France sur la souveraineté numérique, notamment depuis que le Sénat a classé les grands datacenters parisiens "projets d'intérêt national majeur".
Un secteur contraint de repenser ses fondamentaux
L'industrie du cloud tire des leçons concrètes de ces événements. La localisation géographique des infrastructures n'est plus seulement une question de latence ou de fiscalité, elle devient un enjeu de sécurité physique brute. Les opérateurs réévaluent leurs stratégies multi-cloud et multi-régions à l'aune du risque géopolitique, un facteur longtemps négligé dans les appels d'offres.
Cette prise de conscience intervient alors que les investissements dans les centres de données atteignent des niveaux records. Des projets comme celui de Mistral AI, qui lève 830 millions d'euros pour un méga-datacenter IA près de Paris, illustrent l'ampleur des sommes engagées et donc la criticité de leur protection. Le cessez-le-feu intervenu le 8 avril 2026 au Moyen-Orient n'a pas dissipé les craintes : la question d'un traité international sur la protection des infrastructures numériques civiles sera au coeur des prochaines discussions onusiennes sur la cybersécurité et le droit des conflits armés.