Migration d’une architecture AWS vers Scaleway : retour d’expérience sur une application critique

Contexte : pourquoi envisager une migration vers un cloud souverain ?

En 2025-2026, le paysage du cloud public a connu des bouleversements significatifs. Les récentes augmentations tarifaires de Google Cloud — certains services ayant vu leur prix doubler (Wallstreetcn, janvier 2026) — ont poussé de nombreuses entreprises à reconsidérer leur stratégie d’hébergement.

À cette instabilité tarifaire s’ajoute un contexte géopolitique agité : tensions commerciales internationales, risques de tarifs douaniers variables sur les services numériques, incertitudes juridiques autour du Data Privacy Framework et de la conformité RGPD pour les données hébergées hors de l’Union européenne. L’invalidation successive de Safe Harbor puis du Privacy Shield a démontré la fragilité des garanties juridiques transatlantiques. Les décisions récentes de certains États concernant des tarifs douaniers imprévisibles sur les services technologiques renforcent l’urgence d’une réflexion sur la souveraineté numérique.

C’est dans ce contexte que nous avons mené la migration d’une application métier critique — initialement hébergée sur AWS — vers Scaleway, un fournisseur cloud français dont les datacenters se situent exclusivement en Europe (Paris, Amsterdam, Varsovie, Milan).

L’application : un système critique manipulant des données clients sensibles

L’application concernée traite des volumes importants de données personnelles : identités, coordonnées et historique d’achats.
La réglementation impose une conservation légale de ces données sur plusieurs années, avec des exigences strictes en matière de traçabilité, d’auditabilité et de conformité RGPD.

L’architecture repose sur un socle technologique éprouvé :

• Backend : Java / Spring Boot avec une architecture modulaire (Spring Modulith), exposant des API REST sécurisées
• Frontend : application Angular moderne, responsive, distribuée via un CDN avec WAF intégré
• Authentification : OAuth2 / OpenID Connect avec SSO d’entreprise, gestion de rôles granulaire, sessions stateless (JWT), protection CSRF
• Stockage objet : compatible S3 pour l’archivage des documents sources et des PDF générés
• Base de données : PostgreSQL managé avec sauvegardes automatiques
• Intégration de fichiers : serveur SFTP dédié pour la réception sécurisée de flux en provenance de systèmes tiers
• Monitoring : dashboards spécifiques et alerting
• Audit : traçabilité complète de chaque action utilisateur (recherches, téléchargements, exports) dans une table d’audit dédiée et de l’intégration des données
• Chiffrement : gestion des secrets applicatifs via Secret Manager (AES-256), communications chiffrées TLS de bout en bout, Encryption at Rest…

Cette diversité technologique, combinée aux exigences de conservation légale et de protection des données personnelles, rendait la migration d’autant plus exigeante : il ne s’agissait pas simplement de déplacer des serveurs, mais de garantir que chaque brique conserve ses propriétés de sécurité, de conformité et de performance.

Comparaison AWS et Scaleway : des équivalences fonctionnelles remarquables

L’un des constats les plus marquants de cette migration est le degré élevé de compatibilité entre les services AWS et leurs équivalents Scaleway, en particulier pour les applications de type Intranet, Internet ou API.

Voici le mapping que nous avons établi pour les principaux services utilisés :

Besoin	Service AWS	Équivalent Scaleway	Compatibilité
Compute (VMs)	EC2	Instances	✅ Équivalent
Base de données	RDS PostgreSQL	Managed Database PostgreSQL	✅ Équivalent (v12-16)
Répartition de charge	ALB/ELB	Load Balancer L4/L7	✅ Équivalent
Stockage objet	S3	Object Storage (API S3 compatible)	✅ 100% compatible
Gestion des secrets	Secrets Manager	Secret Manager (AES-256)	✅ Équivalent
Monitoring / Logs	CloudWatch	Cockpit (Grafana/Loki/Mimir)	✅ Équivalent
CDN / WAF	CloudFront + WAF	Edge Services	✅ Équivalent
Functions serverless	Lambda	Serverless Functions	✅ Équivalent
Email transactionnel	SES	Transactional Email	✅ Équivalent
Infrastructure as Code	Terraform AWS Provider	Terraform Scaleway Provider (validé HashiCorp)	✅ Équivalent

Un point particulièrement appréciable : le stockage objet de Scaleway est 100% compatible avec l’API S3 d’AWS.

Concrètement, cela signifie que notre code applicatif utilisant le SDK AWS S3 a fonctionné sans modification. Les outils classiques (aws-cli, rclone, minio-cli) sont directement utilisables. Il a suffi de changer le endpoint et les credentials.

De même, le Load Balancer Scaleway reprend les concepts fondamentaux d’AWS (Target Groups → Backends, Listeners → Frontends, Listener Rules → Routes, Security Groups → ACLs) avec une parité fonctionnelle complète : health checks HTTP/TCP, algorithmes de répartition, sticky sessions, HTTP/2 et HTTP/3, certificats Let’s Encrypt automatiques, et support du proxy protocol v2.

Souveraineté et stabilité : des arguments devenus décisifs

Au-delà des considérations techniques, le choix de Scaleway répond à des enjeux stratégiques majeurs :

Souveraineté des données

Les données sont hébergées exclusivement en Europe, dans des datacenters situés à Paris, Amsterdam, Varsovie ou Milan. Scaleway est certifié ISO/IEC 27001:2022, qualifié Hébergeur de Données de Santé (HDS), et en cours de qualification SecNumCloud par l’ANSSI — le plus haut niveau de certification de sécurité cloud en France. Cela constitue une garantie juridique et technique bien supérieure à un hébergement soumis au CLOUD Act américain.

Stabilité tarifaire

Scaleway propose une tarification transparente et prévisible, avec facturation horaire plafonnée mensuellement. Les frais de sortie de données (egress), qui représentent un poste de coût significatif et souvent sous-estimé chez les hyperscalers, sont gratuits chez Scaleway pour la majorité des services (75 Go/mois inclus sur l’Object Storage, gratuit sur le Load Balancer et Kubernetes). De même, les requêtes API sur le stockage objet (PUT, GET, LIST) sont incluses — alors qu’elles sont facturées chez AWS.

Prévisibilité des coûts

Notre étude comparative détaillée a montré une réduction de coûts d’environ 30% par rapport à AWS pour une architecture strictement équivalente. L’absence de frais cachés (IPv4, egress, requêtes S3, support technique) contribue à une facture mensuelle lisible et sans mauvaises surprises. Le support technique 24/7 par ticket (très réactif) est inclus de base — là où AWS facture cette prestation à partir de 29 $/mois avec une réactivité qui n’a fait que s’allonger à travers le temps.

La migration : une opération maîtrisée

Cette migration a été conduite selon une méthodologie en phases successives, étalée sur six semaines :

1. Préparation de l’infrastructure cible : provisioning du réseau privé, du Secret Manager, et de l’IAM applicatif via Terraform
2. Migration de la base de données : export PostgreSQL depuis AWS RDS, restauration sur Managed Database Scaleway, validation d’intégrité
3. Migration du stockage objet : synchronisation complète des buckets S3 via rclone, mise en place des règles de lifecycle pour l’archivage vers Glacier
4. Déploiement des instances compute : deux VMs applicatives en zones distinctes (haute disponibilité) + un serveur SFTP dédié, avec automatisation cloud-init
5. Configuration réseau et sécurité : Load Balancer avec health checks applicatifs, certificats SSL Let’s Encrypt automatiques, WAF via Edge Services, ACLs réseau
6. Cutover DNS et validation : basculement transparent, période de surveillance intensive, puis décommissionnement progressif d’AWS

La compatibilité API S3 et l’utilisation de Terraform comme couche d’abstraction ont été des accélérateurs déterminants. Le code applicatif Java/Spring Boot n’a nécessité que des ajustements mineurs de configuration (endpoints, credentials), sans aucune modification du code métier.

Sécurité et conformité : aucun compromis

Pour une application manipulant des données personnelles clients soumises à conservation légale, la sécurité n’est pas négociable. Voici les dispositifs maintenus — et parfois renforcés — lors de la migration :

• Authentification SSO via OAuth2/JWT avec le SSO, intégrant des rôles applicatifs granulaires et un mécanisme de fail-closed (tout accès non explicitement autorisé est refusé)
• Protection CSRF en mode SPA (double-submit cookie)
• Chiffrement des secrets (credentials base de données, clés SFTP, clés S3) via Secret Manager avec chiffrement AES-256
• Communications chiffrées TLS de bout en bout : du navigateur au Load Balancer, du Load Balancer aux instances applicatives
• WAF (Web Application Firewall) avec niveaux de sécurité configurables, filtrage des menaces OWASP Top 10
• Audit trail complet : chaque recherche, consultation ou téléchargement est consigné dans une table d’audit horodatée et non modifiable
• Réseau privé isolé (VPC) avec segmentation : les instances applicatives, la base de données et le serveur SFTP communiquent exclusivement sur un réseau privé, sans exposition directe à Internet
• Conservation légale des documents avec versioning et immutabilité sur le stockage objet, garantissant l’intégrité des archives
• RGPD : hébergement exclusivement européen, pas de transfert de données hors UE, conformité native du fournisseur

Exploitation et disponibilité : un taux de service élevé

Depuis la mise en production sur Scaleway, l’application affiche un taux de disponibilité supérieur à 99,8%. L’architecture bi-zone (deux instances applicatives réparties sur des datacenters distincts) assure une continuité de service même en cas de défaillance d’une instance. Le Load Balancer effectue des health checks applicatifs en continu sur l’endpoint /actuator/health de Spring Boot et bascule automatiquement le trafic en cas de détection d’anomalie.

L’optimisation des coûts passe également par une automatisation intelligente : des fonctions serverless, pilotées par des déclencheurs CRON, arrêtent l’infrastructure en dehors des heures ouvrées (nuits et week-ends) et la redémarrent le matin avec vérification automatique tout au long de la journée du bon fonctionnement. Cette approche permet de réduire significativement la facture tout en garantissant une disponibilité totale pendant les plages d’utilisation.

Agents logiciels : anticiper plutôt que subir

L’un des axes les plus innovants de notre approche d’exploitation repose sur l’utilisation d’agents logiciels spécialisés pour le contrôle de santé applicative.

Nous avons développé des agents de monitoring à la demande, spécifiques à chaque application que nous exploitons. Ces agents ne se contentent pas de vérifier des métriques système classiques (CPU, RAM, disque) : ils comprennent la logique métier de l’application et sont capables d’évaluer la santé fonctionnelle du système dans sa globalité.

Concrètement, ces agents (qui peuvent faire appel à l’IA mais qui sont parfois simplement algorithmiques):

• Analysent les logs applicatifs en temps réel pour détecter des patterns anormaux avant qu’ils ne dégénèrent en incident
• Corrèlent les métriques d’infrastructure (base de données, stockage, réseau) avec les indicateurs métier (temps de génération de documents, taux d’erreur des ingestions, latence des API)
• Exécutent des scénarios de test fonctionnels à la demande pour valider le bon fonctionnement de bout en bout après un déploiement, un redémarrage, ou un incident réseau
• Anticipent les incidents en identifiant des tendances (augmentation progressive de la latence, saturation lente du stockage, dégradation des temps de réponse base de données) et en émettant des alertes prédictives
• Anticipent les incidents métiers en contrôlant de manière régulière les fonctionnalités critiques de l’application
• Proposent des diagnostics contextualisés en cas d’anomalie, permettant de cibler rapidement le problème et de le corriger

Cette approche nous permet de passer d’un monitoring réactif (“l’application est tombée, il faut intervenir”) à une exploitation proactive et prédictive (“la tendance actuelle suggère un risque de saturation dans 48h, voici les actions recommandées”). Le résultat : des incidents évités, une disponibilité maximisée, et une confiance renforcée de nos clients dans la stabilité de leurs solutions.

Bilan et enseignements

Cette migration nous a conforté dans plusieurs convictions :

1. La maturité des cloud souverains européens est réelle. Pour des applications de type Intranet, Internet ou API, Scaleway offre une couverture fonctionnelle complète et une expérience développeur de qualité, avec un provider Terraform validé par HashiCorp et une API S3 100% compatible.
2. La souveraineté n’est pas un luxe, c’est une nécessité. Dans un contexte de tensions commerciales, d’incertitudes juridiques transatlantiques et de variations tarifaires imprévisibles des hyperscalers américains, héberger ses données critiques en Europe chez un acteur européen est un choix stratégique rationnel.
3. La migration est accessible. Avec une méthodologie rigoureuse, l’utilisation d’outils portables (Terraform, API S3, OpenTelemetry) et une bonne préparation, la migration d’une architecture AWS vers Scaleway se fait en quelques semaines, sans rupture de service.
4. Les économies sont substantielles. Une réduction de près de 30% des coûts d’hébergement, sans compromis sur les fonctionnalités ni la performance, constitue un argument difficilement contestable — d’autant plus dans un contexte de hausse continue des tarifs des hyperscalers.
5. L’exploitation moderne s’enrichit par l’IA. Les agents logiciels spécialisés (utilisant l’intelligence artificielle quand c’est nécessaire), transforment la supervision applicative en un avantage compétitif : anticipation des incidents, réduction du temps de résolution, et garantie d’un niveau de service élevé pour les utilisateurs finaux.

---

Nous accompagnons nos clients dans la conception, le développement et l’exploitation de solutions spécifiques à forte valeur métier. Notre expérience de migration cloud, combinée à notre expertise en développement Java/Spring Boot et en exploitation augmentés par l’IA, nous permet de proposer des architectures robustes, souveraines et économiquement optimisées. N’hésitez pas à nous contacter pour échanger sur vos projets.