Gouvernance
Cap ou pas cap ? La filière numérique française au défi de la souveraineté
Par Thierry Derouet, publié le 12 septembre 2025
Compte rendu du live IT for Business animé depuis Station F à l’occasion de la 11ᵉ Université d’été d’Hexatrust. Sept voix – éditeurs, RSSI, industriels et responsables publics – se sont succédé pour débattre de souveraineté numérique, de cloud de confiance et de cybersécurité. Un fil rouge a traversé les échanges : « Faire l’histoire ou la subir ».
“Chiche ! Cap ou pas cap pour la souveraineté ? » Jean-Noël de Galzain, président d’Hexatrust et fondateur de Wallix, n’a pas choisi la langue de bois pour lancer la 11ᵉ édition des Universités d’été d’Hexatrust. Dans l’écrin bourdonnant de Station F, les acteurs du cloud de confiance et de la cybersécurité ont croisé leurs diagnostics, parfois rugueux, souvent lucides : l’Europe reste massivement dépendante des technologies étrangères. Mais la filière française veut croire que l’heure du passage à l’acte a sonné.
L’addition salée de la dépendance
D’entrée, Jean-Noël de Galzain assène un chiffre : « 83 % des produits et services numériques achetés en Europe viennent de l’extérieur. » Une dépendance qui coûte, selon le Cigref, 264 milliards d’euros chaque année. « Nous créons une dépendance économique avec des acteurs ultra-dominants, parfois mortifère pour notre industrie. » Face à ce constat, il ne brandit pas un repli, mais un mécanisme simple : « Réallouer seulement 15 % de nos achats IT vers des solutions françaises ou européennes, c’est créer 690 milliards d’euros de marchés en dix ans. »
La souveraineté n’est pas, à ses yeux, une fin en soi : « Notre but, ce n’est pas la souveraineté. Notre but, c’est l’innovation. Mais nous avons un différenciateur : nous sommes européens. Nous respectons les données par design, nous visons la résilience et nous croyons en la liberté d’expression. »
Aux DSI, il lance donc un défi sans détour : « Chiche ! Cap ou pas cap ? »
Des données sensibles à la dépendance vitale
Pour Alain Bouillé, délégué général du CESIN, la souveraineté n’est plus cantonnée aux données sensibles. « Depuis novembre dernier, avec un allié américain devenu partenaire imprévisible, la question a changé. Le risque, c’est qu’on coupe le robinet. » En clair, ce n’est plus seulement une question de confidentialité : c’est une affaire de continuité d’activité. « Nous ne pouvons plus limiter la souveraineté à quelques gigas sensibles. La dépendance concerne l’ensemble de nos systèmes d’information. »
Pas question toutefois de brandir le protectionnisme : « Il ne s’agit pas de switcher brutalement vers des solutions européennes et d’abandonner les Américains. Ils ont une avance technologique indéniable. Mais nous devons rééquilibrer. » Ce rééquilibrage passe par des achats assumés. « Si les Américains sont si puissants, c’est parce que les Américains ont acheté américain. À nous d’acheter européen. » Le CESIN prépare avec Hexatrust un catalogue “Made in France cyber”, et travaille à un indice de souveraineté mesurant la part réelle des solutions européennes dans les systèmes d’information.
Alain Bouillé prévient aussi contre les mirages de la plateformisation : « Le rôle du RSSI est de peser le risque. Et s’enfermer chez un seul fournisseur, c’est créer une dépendance encore plus grande. »
Une filière reconnue… enfin
C’est précisément ce que veut changer Michel Paulin, ancien DG d’OVHcloud, aujourd’hui président du Comité Stratégique de Filière (CSF) “Logiciels et solutions numériques de confiance”. « Qu’il ait fallu attendre 2025 pour reconnaître cette filière est une erreur. Le numérique est au cœur de nos vies, des entreprises, des enjeux géopolitiques. Mieux vaut tard que jamais. » Mais Michel Paulin ne veut pas d’un « machin » de plus. « Nous avons signé un contrat avec trois ministères, avec des actions concrètes, certaines à court terme, d’autres à moyen terme. »
Sa priorité : défragmenter les référentiels. « Aujourd’hui, un prestataire certifié SecNumCloud doit encore repasser HDS pour travailler sur des données de santé. C’est la prime aux gros. Il faut des certifications gigognes : plus vous montez, plus vous englobe. »
Autre urgence : le financement. « Le seed va mieux. Mais dès qu’il faut lever 100 millions, il n’y a plus personne. Résultat : nos pépites passent sous parapluie américain. » Pour Paulin, il est temps d’orienter l’épargne longue — assurances, fonds de pension, épargne réglementée — vers le logiciel de confiance. « Comme l’aéronautique hier, le numérique doit devenir une filière industrielle stratégique. »
Le baromètre : la conscience progresse
Les chiffres d’EY France, présentés par Clément Perrault, confirment que la conscience avance. « Une organisation sur deux a déjà refusé une solution pour des raisons de souveraineté. » Le baromètre 2025 révèle aussi un paradoxe : si les RSSI et DSI interrogés disent vouloir privilégier le souverain, 49 % n’ont encore aucun plan d’action pour NIS2. « C’est compréhensible : la directive n’est pas encore transposée. Mais dangereux : attendre le décret, c’est déjà subir. »
Preuve qu’il reste du chemin à parcourir : « Les DSI et RSSI connaissent Hexatrust, ils identifient mieux les acteurs français. Mais ils doutent encore de leur robustesse financière et de leur scalabilité. »
La souveraineté se joue donc aussi sur la réputation économique des fournisseurs.
Les mains dans le cambouis
Dans ce concert de chiffres et de contrats, Gaël Musquet apporte un contrepoint. Hacker éthique, pédagogue et animateur du Lab du Campus Cyber, il rappelle que la cybersécurité ne se joue pas que dans les textes, mais aussi dans les ateliers. « La cyber, ce n’est pas magique. Ça tourne sur des machines. Si vous ne vous occupez pas du hardware, il s’occupera de vous. »
Dans son lab, ses étudiants — parfois âgés de dix ans à peine — démontent des PC, réinstallent Linux et BSD, découvrent que derrière le vernis logiciel, il y a du métal et des circuits. « On croit souvent que la cybersécurité exige des budgets colossaux. En réalité, elle exige surtout de la curiosité. » Et son conseil aux DSI est désarmant de simplicité : « Cherchez vos talents partout. Le passionné qui a un home lab n’est pas forcément ingénieur. Ça peut être votre technicien… ou votre femme de ménage. »
Gaël Musquet alerte aussi sur les zones grises : bornes de recharge, véhicules électriques devenus de véritables serveurs Android, dépendances aux semi-conducteurs. « Reconstituer des chaînes de compétences matérielles est vital si l’Europe veut exister autrement qu’en client captif. »
L’hybride de confiance comme horizon
Ce réalisme est partagé par Philippe Miltin, directeur général d’Outscale (Dassault Systèmes). « Un modèle hybride réussi, c’est on-premise + un ou deux hyperscalers + un cloud souverain. » Pour lui, le cœur du sujet est juridique : « SecNumCloud 3.2 protège des lois extraterritoriales, comme le Cloud Act ou le FISA 702. » En d’autres termes : le choix d’un cloud n’est pas seulement technique ou budgétaire, c’est un choix de droit applicable. Philippe Miltin rejette aussi l’idée que le souverain serait technologiquement en retard : « Aujourd’hui, les clouds souverains disposent d’un catalogue complet. Avec Kubernetes, la portabilité est réelle. Nos clients entrent et sortent quand ils veulent. »
Outscale héberge déjà des projets d’IA générative avec Mistral pour le ministère de la Transition écologique. Et revendique aussi une dimension écologique : « Un cloud bien utilisé est souvent plus sobre qu’un datacenter vieillissant. »
17Cyber, le réflexe attendu
Pour clore la matinée, Jérôme Notin, directeur général du GIP ACYMA (cybermalveillance.gouv.fr), ramène l’assemblée au quotidien. Les menaces ne changent pas fondamentalement, mais leurs modes opératoires se diversifient. « Les faux virements, par exemple, explosent. »
Face à cela, la réponse s’appelle 17Cyber. Lancé en décembre, ce guichet unique permet à tout citoyen, PME ou collectivité de signaler une attaque, d’obtenir des conseils, de contacter l’un des 1.200 prestataires référencés, et même de dialoguer 24/7 avec un policier ou un gendarme.
Mais Jérôme Notin déplore l’absence de moyens de prévention : « La sécurité routière dépense 20 millions d’euros par an en communication. Nous, presque rien. Pourtant, la cyber ne tue pas des humains, mais elle tue des entreprises. Investir quelques millions dans la prévention, c’est protéger le tissu économique national. »
Entre incantation et exécution
À Station F, sept voix ont dessiné une partition cohérente : moins d’incantations, plus d’exécution. Rééquilibrer les achats, simplifier les référentiels, préparer NIS2, cultiver les compétences concrètes, bâtir un modèle hybride où le souverain a toute sa place, faire de 17Cyber un réflexe.
Pour les DSI, la souveraineté n’est plus un grand mot. C’est une série de décisions très pratiques : que mettre où, à qui confier ses données, quel capital soutenir, quel réflexe adopter en cas d’attaque. Et, pour reprendre le mot de Jean-Noël de Galzain, une question demeure : cap ou pas cap ?
À LIRE AUSSI :
