Le 9 juin 2026, le BSI (Bundesamt für Sicherheit in der Informationstechnik) a accordé à SAP l’autorisation d’utilisation (Einsatzerlaubnis) VS-NfD pour sa SAP Cloud Infrastructure, hébergée à Walldorf et St. Leon-Rot en Allemagne. Cette certification classe l’infrastructure comme apte au traitement de données officielles sensibles, ouvrant formellement les portes du secteur public fédéral et des industries à forte réglementation sécuritaire. SAP affirme être le seul fournisseur cloud à couvrir ce périmètre pour des déploiements mixtes SAP et applications tierces, selon le communiqué officiel SAP du 9 juin 2026.
Contexte : qu’est-ce que le VS-NfD et pourquoi ça compte
VS-NfD (Verschlusssachen, Nur für den Dienstgebrauch) est le premier niveau de classification des informations gouvernementales allemandes. Il couvre la majorité des échanges internes de l’administration fédérale : dossiers budgétaires, données d’infrastructure critique, informations de marchés publics sensibles, données de santé publique. Obtenir cette certification auprès du BSI n’est pas un processus rapide : l’évaluation de la SAP Cloud Infrastructure a duré environ 12 mois, selon la même source officielle.
L’infrastructure certifiée dispose de trois zones de disponibilité indépendantes, réparties sur des datacenters géographiquement séparés en Allemagne. Il s’agit d’une certification de composant (Einsatzerlaubnis), étape intermédiaire vers une homologation complète (Zulassung) : un signal fort, mais non définitif.
Ce que ça change concrètement pour les DSI et DAF
Pour les organismes publics fédéraux et les entreprises des secteurs régulés (énergie, santé, défense, transports critiques), la certification lève un frein majeur : il n’est plus nécessaire de basculer vers une instance on-premise ou une infrastructure privée cloisonnée pour traiter des données VS-NfD. Un DSI peut désormais envisager un déploiement SAP ERP en cloud public certifié, sans segmentation d’environnement supplémentaire, sous réserve que les données traitées relèvent effectivement de ce niveau de classification.
La position de SAP est singulière sur ce point. L’éditeur indique être, à ce jour, le seul fournisseur sur lequel des applications SAP natives et des applications client tierces peuvent être opérées simultanément en conformité VS-NfD (source : SAP News Center). Les concurrents comme proALPHA, Infor ou les offres cloud génériques BSI-compatibles ne couvrent pas ce périmètre mixte. C’est un argument commercial direct pour les appels d’offres publics impliquant des modules SAP existants et des outils métier tiers sur la même plateforme.
Pour les ETI privées dans des filières réglementées (sous-traitants défense, laboratoires pharmaceutiques, opérateurs d’infrastructures critiques), l’impact est indirect mais réel : leurs donneurs d’ordre publics pourront exiger la conformité VS-NfD dans les contrats de service. Une ETI qui héberge déjà SAP en cloud sera en position favorable dans ces appels d’offres, à condition d’opérer sur la SAP Cloud Infrastructure certifiée et non sur une instance gérée ailleurs.
Ce qu’il faut surveiller
Cette certification est une étape intermédiaire. Les organisations qui traitent des données classifiées à des niveaux supérieurs (VS-Vertraulich ou OTAN) ne peuvent pas encore s’appuyer sur cette autorisation. SAP n’a pas communiqué de calendrier pour l’homologation de niveau supérieur. A surveiller également : l’articulation entre cette certification nationale et la future réglementation EUCS (European Union Cybersecurity Certification Scheme), dont la convergence avec les schémas nationaux comme VS-NfD est attendue mais non encore actée par Bruxelles.
Pour approfondir, consultez notre guide sur la souveraineté numérique ERP (SecNumCloud, EUCS, cloud souverain), notre comparatif ERP cloud vs on-premise : avantages et inconvénients, et notre analyse SAP S/4HANA vs IFS Cloud vs Infor CloudSuite pour ETI industrielles en 2026.
