Par Sacha
HILIC, Directeur général chez IMS Networks
Longtemps cantonnée aux
cercles d'experts, la souveraineté numérique s'est imposée en quelques années
comme une préoccupation stratégique majeure pour les directions informatiques.
Le rapport du Cigref publié en février 2025 révèle ainsi que près des deux
tiers des DSI considèrent désormais ce sujet comme prioritaire. Une évolution
qui traduit une réalité de plus en plus tangible : nos infrastructures
numériques, nos données et une partie de nos capacités d'innovation reposent
largement sur des technologies développées et opérées hors d'Europe. Dès lors,
une question s'impose : comment préserver la performance et la sécurité des
systèmes d'information tout en renforçant leur autonomie ?
Un environnement
numérique devenu plus incertain
Le numérique n'échappe
plus aux rapports de force internationaux. Les rivalités entre les États-Unis,
la Chine, la Russie et l'Union européenne redessinent progressivement les
équilibres technologiques mondiaux. Dans le même temps, les cyberattaques se multiplient
et gagnent en sophistication. Ransomwares, attaques par déni de service
distribué (DDoS), campagnes d'espionnage ou de déstabilisation : les
infrastructures critiques sont devenues des cibles privilégiées. Chaque
incident rappelle à quel point la maîtrise des infrastructures numériques
constitue désormais un enjeu de sécurité autant qu'un enjeu économique.
Les risques liés à la
dépendance technologique
Ces risques sont
multiples et bien documentés. Selon une étude du Cigref menée en 2025, 80 % des
dépenses liées aux logiciels et services cloud en Europe sont réalisées auprès
d'acteurs américains, ce qui expose les organisations à des vulnérabilités structurelles.
La hausse des coûts de licence et d'infrastructure pèse par ailleurs sur les
budgets, avec une inflation estimée à 5 à 10 % par an pour les solutions cloud
et logicielles étrangères.
La maîtrise des données
au cœur des préoccupations
La question de la
confidentialité constitue un autre sujet majeur. Lorsque des données transitent
ou sont hébergées par des acteurs soumis à des législations extraterritoriales,
elles peuvent potentiellement faire l'objet de demandes d'accès émanant d'autorités
étrangères. Le Cloud Act américain illustre parfaitement cette problématique.
Il permet aux autorités des États-Unis de solliciter l'accès à certaines
données détenues par des entreprises américaines, y compris lorsque celles-ci
sont stockées en dehors du territoire américain.
Cette réalité concerne
également certains services de cybersécurité. Dans le cadre de la protection
contre les attaques DDoS, par exemple, les centres de nettoyage du trafic
analysent les flux afin d'identifier et d'éliminer le trafic malveillant. Même
lorsqu'aucune donnée n'est conservée durablement, des métadonnées ou certaines
informations applicatives peuvent être exposées selon les architectures mises
en œuvre et le niveau de chiffrement utilisé.
À cela s'ajoute une
préoccupation émergente : le scénario du « harvest now, decrypt later ». Des
données interceptées aujourd'hui pourraient être conservées puis déchiffrées
ultérieurement lorsque les capacités de calcul, notamment quantiques,
permettront de contourner les mécanismes cryptographiques actuels.
Quand la géopolitique
impacte directement les services numériques
Au-delà des enjeux
techniques, les organisations doivent désormais intégrer un risque plus
politique : celui d'une interruption ou d'une restriction d'accès à des
services numériques sous l'effet de décisions gouvernementales. Les récents
différends entre l'administration américaine et certains acteurs de
l'intelligence artificielle comme Anthropic ont montré que des considérations
stratégiques ou de sécurité nationale pouvaient influencer l'accès à certaines
technologies. De même, la suspension en 2025 du compte Microsoft du procureur
de la Cour pénale internationale à la suite de sanctions américaines a illustré
de manière concrète l'impact potentiel de décisions politiques sur l'accès à
des services numériques essentiels. Ces situations rappellent qu'une dépendance
technologique peut rapidement devenir une dépendance opérationnelle.
Mieux mesurer pour
mieux agir avec l’Indice de Résilience Numérique (IRN)
Face à ces constats, la
première étape consiste à objectiver les dépendances. Dans ce contexte,
l'Indice de Résilience Numérique (IRN) fournit aux organisations un cadre
d'évaluation concret. Il prend notamment en compte l'origine des fournisseurs,
la localisation des données, l'utilisation de standards ouverts ainsi que le
niveau de diversification des prestataires. L'intérêt de cette approche est de
transformer une notion parfois abstraite en indicateurs mesurables permettant
d'orienter les décisions d'investissement et les plans de transformation.
Construire une
souveraineté pragmatique
Renforcer sa
souveraineté numérique ne signifie pas se couper du reste du monde ni exclure
systématiquement les solutions étrangères.
L'enjeu consiste plutôt
à retrouver des marges de manœuvre et à réduire les dépendances les plus
critiques. Cela peut passer par le recours à des solutions de cybersécurité
certifiées (ISO 27001, SecNumCloud, ANSSI), l'adoption de technologies ouvertes
favorisant l'interopérabilité, la diversification des fournisseurs ou encore le
développement de capacités internes sur certains domaines stratégiques. La
souveraineté numérique doit être envisagée comme une démarche progressive,
guidée par l'analyse des risques et la recherche d'un équilibre entre
performance, innovation et maîtrise.
La souveraineté
numérique, un levier de compétitivité
La souveraineté
numérique n'est pas une logique de repli. Elle constitue au contraire une
réponse pragmatique aux nouvelles réalités du numérique mondial.
Les organisations qui investissent dans la compréhension de leurs dépendances et dans la diversification de leurs solutions, notamment avec des offres européennes, renforcent non seulement leur résilience face aux crises mais aussi leur capacité à décider librement de leur trajectoire technologique.


