Résumé

  • cloud&more Inc n’est pas seulement une marque de conseil. Les enregistrements ARIN montrent un système autonome actif, AS399289, nommé CLAMO et enregistré auprès de cloud&more Inc, ainsi qu’un espace d’adressage IPv4 et IPv6 qui apparaît dans l’empreinte DNS publique de l’entreprise.
  • La revendication d’infrastructure n’est encore que partiellement visible de l’extérieur. Les pages publiques indiquent que les services sont hébergés au Canada et construits autour d’une infrastructure contrôlée, mais elles ne nomment pas les centres de données, les contrats de baie, la conception électrique, la topologie de secours, les objectifs de restauration, le stock de matériel de rechange ni le second amont qui transformerait un récit de souveraineté en un service d’hébergement résilient.
  • Le chemin de défaillance le plus aigu n’est pas un scénario de panne spectaculaire unique. C’est la chaîne ordinaire où une baie, un amont, une file d’attente de réparation, une facture impayée, un contrat de fournisseur ou un écart de migration décide si les clients peuvent toujours accéder au courrier, aux fichiers, aux applications hébergées et aux copies de récupération.

La promesse publique dépasse l’infrastructure visible

Le site public de cloud&more Inc est direct sur le récit produit qu’il souhaite faire entendre aux acheteurs canadiens. L’entreprise se décrit comme un fournisseur de cloud souverain, d’hébergement et de transformation numérique pour les entreprises canadiennes, et la page d’accueil indique que cloud&more « conçoit et opère » des plateformes pour les entreprises canadiennes, d’un premier espace de travail cloud à une infrastructure privée entièrement gérée. Le même site annonce un hébergement canadien, un alignement sur la LPRPDE, aucun transfert vers un pays tiers, un espace de travail Hugo construit sur Nextcloud, des services de calcul privés, le développement d’applications sur mesure, des ERP et CRM, des services de cybersécurité et du conseil autour de la souveraineté numérique. Ces affirmations sont visibles sur lapage d’accueil en anglaisde l’entreprise et sur les pages de destination des services qui décrivent l’offre autour de l’infrastructure souveraine, de Hugo et des applications métier.

Cela fait de cloud&more un cas d’infrastructure utile précisément parce que la surface est petite. De nombreuses défaillances d’infrastructure ne commencent pas à la périphérie hyperscale. Elles commencent chez un fournisseur local ou régional qui a suffisamment de contrôle pour vendre un service différencié, mais pas assez de preuves publiques pour qu’un client comprenne quelle part du service est possédée, louée, sous-traitée, surveillée, stockée ou récupérable. Le dossier de cloud&more présente les deux faces.

Il y a un site web d’entreprise actif, un numéro de téléphone public, une adresse de bureau canadienne, une page de confidentialité, des conditions de service, une inscription en tant que partenaire Nextcloud, une fiche d’application mobile Hugo et un système autonome. Il n’y a pas non plus de liste publique des installations, de nombre de baies publié, d’historique de table de routage publié, d’opérateur de centre de données nommé, de plateforme de stockage annoncée, de tableau de rétention des sauvegardes publié, de calendrier de niveau de service public ni de dossier post-incident visible.

La bonne lecture n’est ni de rejeter l’entreprise ni de considérer le marketing comme une preuve définitive. Un fournisseur peut être jeune, spécialisé et utile sans publier les mêmes preuves qu’un opérateur coté. Mais quand le produit est de la capacité hébergée, les éléments cachés ne sont pas des détails administratifs. Ils constituent la capacité.

Les fichiers, serveurs virtuels, boîtes aux lettres, historiques de chat, enregistrements CRM et copies de récupération des clients résident quelque part sur des disques, de la mémoire, des ports réseau, des interconnexions, des systèmes d’alimentation sans interruption et des routines de personnel. Si ces couches ne sont pas visibles, la question d’achat passe de « Est-ce canadien? » à « Qu’est-ce qui doit exactement continuer à fonctionner pour que le service canadien reste joignable? »

Les preuves indépendantes sur l’entreprise suffisent à identifier l’opérateur. Lapage des partenaires Nextcloudrépertorie cloud&more comme fournisseur canadien de services cloud et indique que sa suite comprend la messagerie, l’hébergement web, le CRM, l’ERP, Nextcloud, les appels vidéo, le chat, les réseaux sociaux, le serveur virtuel, l’infrastructure d’IA et le développement d’applications sur mesure. Lafiche Google Play de Hugo Cloudnomme Cloud&More Inc. comme développeur, donne l’adresse de Moncton, et décrit un client d’accès aux fichiers Nextcloud. Lapage vendeur Digital Main Streetdécrit cloud&more comme un fournisseur de solutions cloud du Canada atlantique et renvoie vers cloudandmore.ca, sans aucun avis sur cette fiche. Ce ne sont pas des certifications de capacité. Ce sont des signaux d’identité et de présence sur le marché. Ils étayent la conclusion que cloud&more est une entreprise en activité avec une surface de produit public, pas un nom dormant.

L’enregistrement réseau montre un contrôle, mais il est compact

La preuve matérielle la plus solide est l’enregistrement du registre réseau. L’entrée RDAP de l’ARIN pourAS399289montre un système autonome actif nommé CLAMO, enregistré le 27 janvier 2021 et attribué à l’organisation ARIN CLOUD-98. Le même enregistrement ARIN lie l’ASN à cloud&more Inc et indique cloudandmore.ca comme commentaire d’enregistrement. L’enregistrement d’organisation ARIN pourCLOUD-98nomme cloud&more Inc, affiche des adresses de contact canadiennes à Moncton, et liste les contacts abuse, techniques, DNS, routage et opérations réseau. Les enregistrements de contact ont été actualisés en 2025 et 2026, ce qui est un petit signe utile que l’identité de registre est maintenue.

L’ARIN montre également cloud&more associée à un seul /24 IPv4,23.172.240.0/24, et un /36 IPv6,2602:fcc2::/36. Le bloc IPv4 ne fait que 256 adresses. Cela ne plafonne pas le nombre total de clients, car l’hébergement moderne peut reposer sur de l’hébergement virtuel par nom, de l’adressage privé, des reverse proxies et des couches applicatives. Mais c’est un indicateur d’échelle utile: le patrimoine d’adresses visible de l’extérieur n’a pas l’empreinte d’un très grand cloud public. BGP Tools liste de mêmeAS399289comme actif sous ARIN, avec un préfixe IPv4 et un préfixe IPv6, et identifie GTT Communications Inc. AS3257 comme l’amont visible. Les pages de détail des préfixes de BGP Tools pour23.172.240.0/24et2602:fcc2::/36nomment également AS399289 comme origine et cloud&more comme nom de l’ASN.

L’empreinte DNS actuelle rattache le service web et de messagerie public à cet espace d’adressage. Une résolution DNS en direct pour cloudandmore.ca a résolu le service web vers 23.172.240.101 et 2602:fcc2::ffff:17ac:f065, tous deux dans les blocs ARIN liés à CLOUD-98. Les enregistrements d’échange de courrier du domaine pointaient vers mx1.cloudandmore.ca et mx2.cloudandmore.ca, et ses serveurs de noms incluaient ns.clamo.cloud et ns.clamo.tech. La page de mesure publique deInternet.nl pour cloudandmore.carapporte les mêmes adresses de serveur web et enregistre également ns.clamo.tech à l’intérieur de 23.172.240.0/24 et 2602:fcc2::/36. Cela importe car cela montre que cloud&more ne se contente pas de pointer un site vitrine vers un hébergement mutualisé générique sous l’adresse d’un autre fournisseur. Au moins une partie de l’identité web, DNS et de messagerie publique de l’entreprise est liée à ses propres ressources numérotées.

Mais un contrôle compact reste un contrôle compact. Le dossier public vu ici ne montre pas de multiples amonts. Il ne montre pas de peering à un point d’échange. Il ne montre pas de second pays, de seconde zone métropolitaine ou de second système autonome transportant du trafic de production. Il ne montre pas si la promesse d’hébergement canadien se trouve dans une seule installation, plusieurs cages, une baie louée dans un immeuble neutre vis-à-vis des opérateurs, une salle en propre, un contrat de colocation géré ou un cloud opéré par un partenaire.

Un seul amont visible n’est pas un défaut en soi, surtout pour un petit fournisseur, mais c’est une dépendance matérielle. Si AS3257 est le seul chemin pratique pour entrer et sortir, alors un client qui achète de la capacité « souveraine » achète aussi le chemin de réparation et d’escalade entre cloud&more et cet amont.

La situation de la sécurité de routage mérite la même lecture attentive. Internet.nl rapporte que les annonces de route pour le serveur web et l’un des chemins de serveur de noms avaient un état de validation d’origine RPKINotFound, ce qui signifie qu’il n’a pas trouvé d’autorisation d’origine de route publiée pour 23.172.240.0/24 ou 2602:fcc2::/36 comme origine AS399289. Il décrit cela comme augmentant le risque que des erreurs de routage ou des manipulations de route puissent rendre le serveur injoignable ou envoyer le trafic vers le mauvais réseau.NotFoundn’est pas la même chose queInvalid; cela ne signifie pas qu’un autre réseau est autorisé à la place. Cela signifie que l’attestation cryptographique qui permettrait à d’autres réseaux de valider positivement l’origine n’a pas été trouvée par ce service. Pour une entreprise qui vend une assurance de contrôle des données, c’est une lacune corrigible à propos de laquelle les clients devraient poser des questions.

Il y a aussi une nuance de mesure: les pages de préfixes de BGP Tools indiquaient, au moment de l’accès, que les deux préfixes de cloud&more n’étaient pas visibles dans la zone sans défaut, alors qu’Internet.nl rapportait des détails de route pour les mêmes préfixes. Des collecteurs, des horaires et des points de vue différents peuvent expliquer cette différence. La leçon importante pour le client n’est pas de surinterpréter une page.

C’est de demander des preuves de route longitudinales, une diversité d’amonts et un état d’autorisation de route, car une entrée de registre statique n’est pas la même chose qu’une joignabilité globale stable.

L’hébergement canadien est une promesse juridique et une question d’installation

Les conditions de cloud&more offrent aux clients une accroche juridique plus claire que la seule page marketing. LesConditions de vente, mises à jour pour la dernière fois le 30 août 2024, définissent le « Cloud » comme une combinaison de matériel, de services, de logiciels et d’éléments de réseau mis à disposition dans le cadre d’une description de solution. Les conditions précisent que les solutions sont facturées mensuellement, que les clients sont responsables d’une adresse e-mail dédiée pour les avis de service, et que cloud&more peut résilier les solutions concernées si un client est en défaut de paiement pendant 30 jours ou plus. Elles indiquent également que cloud&more peut résilier si un changement dans sa relation avec un fournisseur tiers de logiciels ou de technologies a eu un effet négatif important sur sa capacité à fournir la solution. La section sur la confidentialité indique que si une description de solution précise la région où les données seront stockées, cloud&more ne déplacera pas les données hors de cette région sans en informer le client. Une section ultérieure sur les obligations du client indique que, sauf indication contraire dans la description de solution, les services seront fournis depuis des installations situées au Canada et que les données des clients seront transmises et stockées au Canada.

Ces clauses font un vrai travail. Elles transforment « l’hébergement canadien » en un attribut de service dépendant du contrat plutôt qu’en un slogan. Elles révèlent aussi la frontière de dépendance. La promesse dépend de la description de solution, des éventuelles conditions de revendeur, des fournisseurs tiers de logiciels ou de technologies, du fait que le client tient à jour les informations de compte et d’avis, et des installations réellement utilisées. En d’autres termes, un acheteur ne doit pas considérer la phrase de la page d’accueil comme l’intégralité de l’accord.

La preuve contraignante est le bon de commande, la description de solution, le calendrier de service et la liste des fournisseurs.

La page de confidentialité ajoute une autre frontière. LaPolitique de confidentialiténomme cloud&more Inc au 770 boul. St George à Moncton et identifie Norbert Demps comme président et chef de la direction. Elle précise que cloud&more propose uniquement des services interentreprises et décrit les données collectées sur le site web comme étant stockées sur des serveurs opérés par un hébergeur externe dans le cadre d’un accord de traitement des données. Elle indique également que la mesure d’audience utilise Matomo auto-hébergé sur statistics.cloudandmore.ca et n’est pas envoyée à des tiers ou à un réseau publicitaire. LaPolitique relative aux cookies, mise à jour le 22 juin 2026, renforce la même posture publique: cookies strictement essentiels, pas de cookies publicitaires et analyses auto-hébergées uniquement après consentement.

Il n’y a pas de contradiction à ce qu’un fournisseur de souveraineté utilise un hébergeur externe pour certaines données du site web si cet hébergeur se trouve dans la région promise et est lié par contrat. Mais cela montre pourquoi la preuve de l’installation importe. Les pages publiques décrivent une « infrastructure contrôlée » et une « infrastructure hébergée au Canada »; la page de confidentialité fait référence à un hébergeur externe; l’ASN montre des ressources de cloud&more; les conditions autorisent des dépendances technologiques tierces. Un client a besoin de la carte des installations pour concilier ces éléments.

Quels services tournent sur des serveurs appartenant à cloud&more? Lesquels tournent en colocation louée? Lesquels utilisent la plateforme d’un partenaire? Quelles sauvegardes quittent la salle primaire? Quels administrateurs ont accès? Quels contrats créent des droits d’urgence pour le client si cloud&more perd une relation fournisseur?

La législation canadienne sur la protection des renseignements personnels ne rend pas ces questions facultatives. L’aperçu de la LPRPDEdu Commissariat à la protection de la vie privée du Canada indique que la LPRPDE s’applique aux organisations du secteur privé partout au Canada qui collectent, utilisent ou divulguent des renseignements personnels dans le cadre d’activités commerciales. Leslignes directrices sur le traitement transfrontalierdu Commissariat précisent que la LPRPDE n’interdit pas les transferts pour traitement dans une autre juridiction, mais que l’organisation demeure responsable et doit utiliser des contrats ou d’autres moyens pour fournir un niveau de protection comparable. Les lignes directrices sur l’infonuagique à l’intention despetites et moyennes entreprisesdu Commissariat indiquent aux clients du cloud de comprendre leurs responsabilités en matière de protection des renseignements personnels, y compris lorsque des renseignements personnels migrent vers des services cloud. Le point pour les acheteurs de cloud&more est subtil: rester au Canada peut réduire certaines préoccupations juridictionnelles, mais cela ne supprime pas la responsabilité du client ni la nécessité d’inspecter la chaîne de service réelle.

La collaboration hébergée rend la fenêtre de réparation personnelle

L’histoire de Hugo rend la pile de dépendance de cloud&more plus concrète. Le site propre de l’entreprise qualifie Hugo de plateforme collaborative souveraine construite sur Nextcloud, avec partage de fichiers, communication, gestion de projet et autres fonctions d’espace de travail exécutées sur une infrastructure canadienne. La fiche Google Play de Hugo Cloud indique que l’application permet aux utilisateurs d’accéder aux fichiers sur un serveur Nextcloud, de téléverser des fichiers, de partager des fichiers, de synchroniser les favoris et d’utiliser le téléversement instantané pour les photos et les vidéos.

La fiche donne également une adresse de support sous gethugo.ca et nomme Cloud&More Inc. comme développeur. La page des partenaires Nextcloud répertorie cloud&more parmi les partenaires et inclut le serveur virtuel, l’hébergement web, la messagerie, le chat, les appels vidéo, le CRM, l’ERP et Nextcloud dans la gamme de services.

Cela représente beaucoup d’activité professionnelle quotidienne pour une surface de petit fournisseur. Si l’espace de travail hébergé est indisponible, l’utilisateur concerné ne vit pas un problème « cloud » abstrait. Il vit des fichiers manquants avant une réunion, un téléversement mobile échoué, une messagerie retardée, un salon de discussion cassé, un écran CRM qui ne charge pas, un dossier de projet impossible à partager, ou une sauvegarde impossible à restaurer.

Si la panne survient pendant une migration, la défaillance devient plus embarrassante: l’ancien système peut déjà avoir des données périmées, le nouveau système peut ne pas être entièrement éprouvé, et le personnel du client peut ne pas savoir quelle source de vérité est à jour.

La dépendance physique sous cette expérience commence dans la baie. Les systèmes de collaboration ont besoin de matrices ou de nœuds de stockage, de services de base de données, de serveurs applicatifs, de mise en cache, de services d’annuaire, de certificats SSL, de répartiteurs de charge ou de reverse proxies, et de chemins réseau. Ils ont besoin de sauvegardes qui ne sont pas de simples instantanés locaux sur le même domaine de défaillance. Ils ont besoin d’un moyen de restaurer des fichiers individuels, des comptes utilisateur complets et des états applicatifs complets.

Ils ont besoin d’une capacité de réserve suffisante pour survivre à un groupe de disques, un nœud, un port de commutateur, une alimentation, un chemin de fibre ou un hôte hyperviseur défaillant sans transformer un petit incident en une interruption à l’échelle du service.

Le dossier public n’indique pas si cloud&more a cette profondeur. Il ne montre pas de second site, de coffre-fort de sauvegarde séparé, de disposition d’immuabilité du stockage, d’objectif de restauration, d’échelle d’escalade de support ou de page d’état visible par le client. Le site prétend bien à une surveillance 24/7 et à un temps de réponse de 24 heures; il indique également les heures d’ouverture sur une page de service comme étant du lundi au vendredi, de 9 h à 17 h, heure de l’Atlantique. Ces éléments peuvent coexister si la surveillance est automatisée et le support humain est d’abord assuré pendant les heures ouvrées.

Mais un client qui fait tourner de la messagerie, des fichiers ou un CRM doit savoir ce qui se passe à 2 h du matin un jour férié lorsqu’un nœud de stockage tombe en panne, qu’un renouvellement de certificat casse, qu’un changement DNS se propage incorrectement, ou qu’une session amont s’interrompt.

Les lignes directrices du Centre canadien pour la cybersécurité surl’évaluation et l’autorisation de sécurité du cloudsont utiles ici parce qu’elles cadrent le risque du cloud comme partagé. Elles indiquent que les organisations doivent comprendre à la fois les contrôles du fournisseur et leur propre risque résiduel. Seslignes directrices sur la défense en profondeur pour les services clouddisent aux organisations de choisir des approches de déploiement et de service en fonction de facteurs tels que le contrôle, la localité, les niveaux de service, l’évolutivité et la sécurité. Sesclauses contractuelles de cybersécurité recommandées pour les services cloudorientent vers un langage contractuel pour la réponse aux incidents, la surveillance continue, la localisation des données et la définition des responsabilités. C’est exactement le type de détail qu’un petit fournisseur de cloud canadien doit transformer en engagements visibles par le client s’il veut que les acheteurs s’appuient sur sa promesse d’hébergement souverain pour des travaux critiques.

Le chemin de défaillance probable est ordinaire, pas exotique

Le chemin de défaillance central pour cloud&more est facile à manquer parce que le récit public porte sur la juridiction et la propriété. Le chemin de défaillance est opérationnel.

Commençons par le transit. BGP Tools montre GTT Communications comme l’amont visible pour AS399289. La page AS publique d’IPinfo pourAS399289montrait également une traceroute depuis Halifax atteignant 23.172.240.116 via GTT avant d’entrer dans AS399289. Si c’est le seul chemin de transit en direct, une panne GTT, un défaut d’interconnexion, une erreur de configuration, un problème de facturation ou un retard de réparation peut rendre les services de cloud&more injoignables même si les serveurs sont en bonne santé. Si un second amont existe mais est privé, non visible ou ne porte pas les mêmes préfixes, les clients ont quand même besoin d’une preuve. Une revendication de diversité devrait inclure les noms des opérateurs, des entrées physiques séparées le cas échéant, des routeurs séparés, le comportement de basculement BGP, et un enregistrement des exercices de basculement.

Ajoutons ensuite l’autorisation de route. Le résultatNotFoundd’Internet.nl pour le serveur web et les chemins de ns.clamo.tech ne prouve pas que le trafic a été détourné ou cassé. Il montre une assurance de sécurité de routage manquante que de nombreux réseaux attendent désormais. Dans un monde où de plus en plus d’opérateurs filtrent les routes invalides et vérifient les autorisations d’origine, un fournisseur proposant des services d’hébergement à destination de clients devrait être en mesure de dire si les ROA sont publiés, si les valeurs de longueur maximale sont appropriées et qui est responsable de leur maintenance. La sécurité du routage n’est pas seulement une question d’hygiène pour les opérateurs. Pour un fournisseur de souveraineté, cela fait partie de la preuve que le chemin vers le serveur canadien est également gouverné.

Ajoutons ensuite la baie. Si l’entreprise a une installation primaire unique, un incident électrique, de refroidissement, une alarme incendie, un problème de contrôle d’accès, un délai d’intervention à distance ou une fenêtre de maintenance peut décider de la continuité de service. Si elle a plusieurs installations, la question pertinente est de savoir si la capacité est chaude, tiède ou froide. Une seconde installation qui stocke des sauvegardes mais ne peut pas servir le trafic de production est précieuse, mais ce n’est pas la même chose qu’un service actif-actif.

Une seconde installation qui peut servir Hugo mais pas l’ERP ou la messagerie spécifiques au client offre une résilience partielle. Une seconde installation qui dépend du même amont, de la même personne de support et de la même erreur de réplication de stockage est moins diversifiée qu’il n’y paraît.

Ajoutons ensuite l’inventaire matériel. Un petit /24 ne prouve pas un petit parc physique, mais un petit réseau public est souvent corrélé avec un pool de capacité plus limité. Les clients devraient demander si les composants critiques sont supportés par le fournisseur, si les disques et alimentations de remplacement sont sur site, si le fournisseur a des pièces de rechange pour les équipements de périphérie réseau, et si la conception de stockage peut absorber une reconstruction sans effondrement inacceptable des performances. Les pénuries de matériel sont plus graves lorsqu’un fournisseur promet une infrastructure privée sur mesure.

Un environnement personnalisé peut être excellent quand l’équipe est proche de la pile; il peut aussi être plus lent à remplacer qu’une instance de cloud banalisée si une seule personne connaît la construction.

Ajoutons ensuite le travail de support. Les supports publics de cloud&more mettent l’accent sur un contact personnel et direct. Cela peut être une force pour les petites organisations qui ne veulent pas de files d’attente de tickets anonymes. Cela concentre également la connaissance. Si le client dépend d’un propriétaire de relation unique, d’un ingénieur senior unique ou d’un petit groupe tournant, le plan de reprise devrait dire qui peut agir quand cette personne est indisponible.

Les Conditions de vente exigent du client qu’il maintienne une adresse e-mail dédiée pour les avis, ce qui est sensé, mais une panne qui inclut le service de messagerie peut rompre le chemin d’avis à moins que des contacts alternatifs et des canaux d’état ne soient convenus à l’avance.

Ajoutons ensuite la facturation et les contrats fournisseurs. Les Conditions de vente autorisent des chemins de suspension ou de résiliation en cas de paiement en souffrance, de violation des conditions d’utilisation acceptable, et des changements négatifs importants dans une relation de fournisseur tiers de logiciels ou de technologies. Aucune de ces clauses n’est inhabituelle. Elles importent parce que de nombreuses défaillances de cloud sont commerciales avant d’être techniques.

Un litige de revendeur, un changement de licence, un renouvellement échoué, un échec de carte, un virement retardé ou un changement de contrat amont peut produire le même résultat visible par le client qu’une panne de serveur. Pour les charges de travail critiques, les clients devraient exiger des périodes de préavis, des droits d’exportation des données, une correction d’urgence des paiements, et une fenêtre de transition en cas de changement d’une dépendance tierce.

Enfin, ajoutons la migration. Le langage anti-verrouillage et de propriété de cloud&more est séduisant, surtout là où Nextcloud et des composants open source sont impliqués. Mais la portabilité n’est jamais seulement une promesse de marque. Ladéfinition du cloud computing du NISTcadre le cloud autour de l’accès réseau à des ressources partagées configurables. Lesynopsis et recommandations sur le cloud du NISTnote que l’interopérabilité et la portabilité varient selon le type de service et sont souvent plus faciles lorsque les blocs de construction sont bien définis. Un client qui quitte Hugo, la messagerie hébergée, le CRM ou l’hébergement d’applications privées a besoin de formats d’exportation, de la passation du fournisseur d’identité, des étapes de bascule du DNS, de l’accès aux clés de chiffrement, des calendriers de conservation et d’un chemin de restauration testé sur un autre environnement. Sans cela, « possédez vos données » peut toujours laisser le client attendre le fournisseur d’origine pendant une sortie contestée ou urgente.

La question de la capacité installée par rapport à la capacité utilisable reste ouverte

Les vendeurs d’infrastructure parlent souvent de capacité en termes généraux: cloud privé, serveur virtuel, IaaS, services gérés, espaces de travail souverains, calcul haute performance, services de sécurité et applications hébergées. La distinction utile pour l’acheteur est la capacité installée par rapport à la capacité utilisable. La capacité installée est ce que le fournisseur a baie, câblé, licencié et alimenté. La capacité utilisable est ce qui reste après prise en compte de la redondance, de la maintenance, de la marge disponible, des sauvegardes, de la demande de pointe et de la tolérance aux pannes.

Les supports publics de cloud&more ne fournissent pas assez de preuves pour calculer l’un ou l’autre chiffre. Le site web indique que l’entreprise opère une infrastructure contrôlée et fait référence au Canada et à l’Allemagne dans le récit plus large du groupe oceans. La liste des partenaires Nextcloud confirme le catalogue de services à un niveau élevé. Les enregistrements ARIN et BGP montrent un petit réseau visible.

Rien de tout cela ne montre combien d’hôtes de calcul existent, combien de stockage est alloué, combien est libre, si les environnements clients sont dédiés ou mutualisés, si la reprise après sinistre utilise la même pile de fournisseur, si les instantanés sont hors site, si les sauvegardes sont testées, ou quelle croissance de client peut être absorbée sans nouvel achat de matériel.

Pour un petit acheteur canadien, cela peut être acceptable si la charge de travail est à faible risque et le contrat transparent. Pour un acheteur réglementé, un cabinet de services professionnels, un organisme public local, un service adjacent à la santé, un conseiller financier, un cabinet d’avocats ou un fabricant ayant des fichiers opérationnels, ce n’est pas suffisant.

Le dossier de diligence minimal devrait inclure une vue d’ensemble de l’architecture actuelle, la localisation des installations au moins par zone métropolitaine et par classe d’opérateur si l’adresse exacte est restreinte, la redondance électrique et de refroidissement au niveau de l’installation, la conception de l’amont et du DNS, le calendrier de sauvegarde, les objectifs de restauration, la politique de conservation, l’approche de chiffrement et de gestion des clés, les heures de support, le chemin d’escalade, la liste des sous-traitants, l’engagement sur la localisation des données, et un résumé récent d’un exercice de restauration.

La recherche sur les pannes de l’Uptime Institute explique pourquoi ce n’est pas du pédantisme. SonAnnual Outage Analysis 2025indique que la prévention des pannes reste stratégique alors que les architectures modernes et les menaces externes créent de nouveaux risques. Lerésumé public 2025 d’Uptimeindique que l’alimentation reste la cause la plus fréquente des pannes graves et sévères de centres de données, tandis que les problèmes informatiques et de réseau augmentent. Sonrésumé exécutif 2024indiquait que les problèmes d’alimentation étaient systématiquement la cause la plus fréquente des pannes graves et sévères de centres de données, tandis que les problèmes de réseau constituaient la plus grande cause unique de pannes de services informatiques. Ce sont exactement les couches que les pages publiques de cloud&more ne quantifient pas.

L’économie est également importante. Un petit fournisseur peut offrir un service de proximité parce qu’il est proche du client, mais cette même proximité peut cacher des compromis difficiles. Garder des serveurs supplémentaires inactifs pour le basculement coûte de l’argent. Avoir des disques de rechange, des optiques, des alimentations et des routeurs coûte de l’argent. Acheter un deuxième fournisseur de transit coûte de l’argent. Payer un stockage de sauvegarde hors site isolé de la pile primaire coûte de l’argent. Avoir un chemin d’escalade à minuit coûte de l’argent.

Si ces coûts ne sont pas visibles dans la description de service publique, ils doivent apparaître ailleurs: dans le prix, dans le contrat, dans les limites de récupération ou dans le risque résiduel du client. Un espace de travail souverain à bas coût peut être parfaitement sensé pour la collaboration quotidienne, mais il ne faut pas présumer qu’il a la même enveloppe de récupération qu’un cloud d’entreprise multirégional à moins que le fournisseur ne déclare et ne prouve cette enveloppe.

C’est là que la petite empreinte d’adressage de cloud&more devient une question utile, pas une accusation. Un /24 et un /36 peuvent supporter des services hébergés significatifs, en particulier lorsque la plupart des clients se connectent par des noms de domaine et des passerelles applicatives. Mais un client devrait demander combien de domaines de défaillance se cachent derrière l’espace d’adressage. Est-ce que le web, la messagerie, le DNS, Hugo et les applications clients sont sur des grappes séparées ou sur des hôtes partagés? Les sauvegardes sont-elles joignables si le préfixe public primaire est filtré ou retiré?

Un client peut-il récupérer via un réseau de gestion, un second site ou un bloc d’adresses alternatif temporaire? Le fournisseur garde-t-il assez de marge pour restaurer un gros client pendant que le service normal continue? Les preuves publiques ne répondent pas à ces questions, ce qui est exactement pourquoi la capacité installée et la capacité utilisable doivent rester séparées dans toute évaluation.

Les signaux de marché non officiels indiquent une empreinte publique étroite

Les signaux de marché plus doux soutiennent une baisse de confiance, pas un rejet. Digital Main Street répertorie cloud&more sans aucun avis. L’extrait public LinkedIn pourcloud&more Incmontrait un petit nombre d’abonnés. La fiche Google Play fournit la preuve d’une surface applicative mais pas du volume d’installation ou de l’adoption en entreprise. Une biographie du fondateur surdemps.caindique que cloud&more a été cofondée entre 2019 et 2021 pour répondre au besoin d’une infrastructure cloud canadienne indépendante et de résidence des données, et décrit une expansion ultérieure de l’écosystème autour de cloud&more, Digital Sovereign, un partenariat eperi, une collaboration sécurisée et des services d’IA. Cette biographie aide à expliquer le récit stratégique, mais ce n’est pas une preuve opérationnelle indépendante.

Ces signaux suggèrent une entreprise avec une vraie niche, une posture portée par les fondateurs et une preuve publique limitée d’échelle. Ils ne peuvent pas prouver le nombre de clients, le chiffre d’affaires, le temps de disponibilité, la profondeur du personnel, la qualité des installations, les performances de sauvegarde ou la maturité de sécurité. Ils ne peuvent pas non plus prouver le contraire. De nombreux petits fournisseurs d’infrastructure B2B ont peu d’avis publics parce que leurs clients ne discutent pas des arrangements d’hébergement en public. Ce qui règlerait la question n’est pas plus de slogans.

Ce sont des références clients signées lorsque cela est approprié, des rapports d’assurance indépendants, des attestations d’installation, une diversité d’amonts nommée, des enregistrements d’autorisation de route, des preuves de restauration de sauvegarde, et une déclaration claire de quelles parties du service sont opérées par cloud&more par rapport à des partenaires.

C’est pourquoi le statut opérationnel devrait être lu comme « visible mais pas entièrement attesté ». L’entreprise a maintenu des ressources de registre, des services publics et une présence de partenaire. Elle n’a pas publié le détail d’infrastructure qui permettrait à un client prudent de considérer sa capacité hébergée comme transparente et redondante. Dans une décision de mise en service, cela justifie une couverture continue avec des mises en garde explicites. Dans une décision d’achat, cela justifie une courte phase de preuve avant de mettre des charges de travail critiques sur la plateforme.

Qui est affecté lorsque ce système tombe en panne

Le premier groupe affecté est celui des propres clients de cloud&more qui utilisent Hugo ou d’autres services hébergés. Il peut s’agir de petites et moyennes entreprises canadiennes, de cabinets professionnels, d’organismes communautaires ou d’entreprises régionales attirées par le contrôle local et les revendications de résidence des données. Si les fichiers, la messagerie, le chat, le CRM, l’ERP ou les applications hébergées deviennent indisponibles, la panne atterrit dans le travail quotidien plutôt que dans une abstraction de back-office.

Le deuxième groupe affecté est constitué des clients en cours de migration. L’offre de cloud&more inclut la transformation, les applications sur mesure et le départ des grandes plateformes étrangères. La migration crée une double dépendance temporaire. Pendant le basculement, le DNS, le flux de messagerie, la synchronisation des fichiers, l’identité, les permissions utilisateur et les sauvegardes peuvent être répartis entre les anciens et les nouveaux environnements. Une panne du fournisseur ou un retard de support pendant cette fenêtre peut bloquer un client entre les systèmes.

Le troisième groupe affecté est celui des partenaires et revendeurs en aval, si certains utilisent cloud&more comme couche d’infrastructure sous leurs propres services. Les Conditions de vente envisagent des achats par des revendeurs et des solutions client pour des utilisateurs finaux, tout en précisant que les solutions ne sont pas destinées à la revente sauf si l’accord applicable le permet. Cela signifie que le rayon de souffle public peut ne pas toujours montrer le nom de cloud&more.

Un consultant local, un atelier logiciel ou une entreprise de services gérés pourrait utiliser la capacité de cloud&more derrière un environnement client de marque.

Le quatrième groupe affecté est cloud&more elle-même. La réputation d’un petit fournisseur peut être endommagée par une défaillance qu’un client d’un cloud plus grand pourrait absorber comme routinière. Des ROA manquants, un problème de transit non résolu, une reconstruction de stockage prolongée ou une sortie de migration lente peuvent devenir des preuves à l’encontre de l’ensemble de la promesse de souveraineté. Pour une entreprise qui vend de la confiance, la fenêtre de réparation n’est pas simplement un temps d’arrêt technique.

C’est la période pendant laquelle les clients décident si le « contrôle local » leur a donné davantage de maîtrise ou a simplement rapproché la dépendance.

Ce qu’un dossier de preuves renforcé montrerait

L’amélioration la plus claire serait une déclaration d’infrastructure concise qui éviterait les détails sensibles mais répondrait aux questions opérationnelles.

Elle indiquerait si les charges de travail de production tournent dans un ou plusieurs centres de données canadiens, si cloud&more possède ou loue le matériel, quelles catégories de sous-traitants sont impliquées, s’il y a un second amont, si le DNS est réparti sur des réseaux indépendants, si les ROA sont publiés pour les préfixes AS399289, comment les sauvegardes sont séparées du service primaire, et quels objectifs de restauration s’appliquent à Hugo, à la messagerie, à l’hébergement d’applications et aux environnements spécifiques aux clients.

La deuxième amélioration serait une preuve de résilience. Cela pourrait être un résumé sécurisé pour le client d’un exercice de restauration récent, une page d’historique de statut, ou un tableau montrant les niveaux de sévérité du support et les temps de réponse cibles. Un fournisseur n’a pas besoin de publier chaque secret d’architecture pour prouver sa discipline. Il peut montrer qu’une restauration de fichier, une restauration complète de compte, une défaillance d’hôte, une défaillance de routeur, un basculement de transit et une contingence de contrat fournisseur ont chacun été exercés dans une période définie.

La troisième amélioration serait un dossier de portabilité. Pour Hugo et les services basés sur Nextcloud, les clients devraient savoir comment exporter les fichiers, les partages, les calendriers, les contacts, la messagerie, les enregistrements de chat, les données de projet, les données d’identité et les journaux d’audit. Pour l’ERP, le CRM et les applications sur mesure, ils devraient connaître les formats d’extraction de données structurées, la propriété du code, les dépendances de construction, la gestion des clés de chiffrement et l’assistance à la résiliation.

Pour les serveurs virtuels hébergés ou l’infrastructure privée, ils devraient connaître les options d’exportation d’image, les limites de portabilité des adresses IP, les étapes de passation DNS et le coût du support de transition.

La quatrième amélioration serait le renforcement des routes et du DNS. Publier et maintenir des ROA pour les préfixes visibles, documenter la diversité des amonts, séparer le DNS faisant autorité sur des réseaux indépendants, maintenir un fichier de contact de sécurité, et utiliser des en-têtes de sécurité web modernes ne prouveraient pas la résilience du centre de données. Mais ils aligneraient la périphérie publique avec le récit de confiance. La mesure d’Internet.nl pointe déjà vers des éléments concrets et corrigibles. Les corriger serait un moyen facile de réduire l’ambiguïté à la périphérie du service.

La conclusion: preuves moyennes, pas ambition moyenne

cloud&more Inc a suffisamment de preuves publiques pour être traitée comme une entité de services cloud canadienne opérationnelle avec une identité réseau authentique. L’entreprise est présente sur son propre site, dans l’ARIN, sur la liste des partenaires Nextcloud, dans la fiche de l’application Hugo Cloud et dans les annuaires de fournisseurs canadiens. Ses adresses DNS et web publiques se trouvent à l’intérieur de son propre espace d’adressage enregistré à l’ARIN. Ses conditions font de l’utilisation d’installations canadiennes une valeur par défaut pour les services, sauf indication contraire dans la description de solution.

Son argumentaire est cohérent: contrôle local, collaboration orientée open source, systèmes métier sur mesure et une posture de souveraineté pour les organisations canadiennes.

Les preuves manquantes sont tout aussi importantes. Il n’y a pas de preuve publique d’une capacité de production multi-site, pas d’empreinte de centre de données nommée, pas de tableau de sauvegarde et de restauration publié, pas de preuve d’autorisation de route dans la mesure d’Internet.nl, pas de second amont visible, pas d’historique de statut public et pas de déclaration de capacité sécurisée pour le client. Cela signifie que le titre de l’article doit être lu littéralement.

cloud&more vend une capacité hébergée, mais cette capacité dépend toujours de baies, de transit et de fenêtres de réparation qui restent largement hors de la vue du public.

Pour un acheteur, la posture pratique est une confiance par étapes. Utiliser le dossier public pour confirmer l’identité et la direction. Utiliser un pilote pour confirmer la qualité du support, le comportement de restauration, l’exportation des données et la friction de migration. Utiliser le contrat pour fixer la région, les sous-traitants, les niveaux de service, la rétention des sauvegardes, l’assistance à la résiliation et les contacts d’urgence. Utiliser des mesures indépendantes pour surveiller la sécurité de routage et le DNS.

Un cloud de souveraineté n’a de valeur que si la souveraineté survit aux pannes ordinaires de l’hébergement: une alimentation défaillante, une pièce de rechange manquante, un battement de route, une mauvaise fenêtre de maintenance, un litige de renouvellement, une absence de personnel et un client qui a besoin de récupérer ses données avant que la réparation ne soit terminée.