Secu
CBC 2025 : Quand l’Europe réinvente le contrat de confiance numérique, les DSI assument…
Par Thomas Pagbe, publié le 09 décembre 2025
Il n’y a pas qu’à Paris que les lignes bougent en matière de cybersécurité. Il y a une dizaine de jours, IT for Business installait son plateau TV au cœur du CBC Toulouse, le rendez-vous professionnel de la sécurité numérique en Occitanie. Dans un contexte de tensions géopolitiques, d’explosion des cybermenaces et de dépendance persistante aux grands acteurs extra-européens, l’Europe est en train de bâtir, texte après texte, le cadre de confiance numérique qui va structurer l’action des DSI et des RSSI pour les dix prochaines années. Entre NIS2, DORA, AI Act, Data Act, exigences de souveraineté cloud, reporting CSRD et contraintes de sobriété autour des data centers, la question n’est plus seulement de « bien sécuriser » mais de concilier, dans une même stratégie, protection, conformité, souveraineté et ambitions ESG. Pour évoquer ce fil rouge et déchiffrer avec un autre regard comment ce macro-cadre européen redessine concrètement les marges de manœuvre des organisations, des voix nationales et locales ont échangé leurs points de vue au micro de Thomas Pagbé.
En quelques années, le vocabulaire des DSI et des RSSI a basculé. À la protection périmétrique et au simple respect du RGPD se superposent désormais un lexique et une grammaire beaucoup plus large de la confiance numérique : NIS2, DORA, AI Act, Data Act, chartes de souveraineté cloud, reporting CSRD, exigences de sobriété et de transparence sur les data centers. Le sujet n’est plus seulement de sécuriser des systèmes, mais d’aligner architectures, fournisseurs, contrats et usages avec un cadre européen en rapide densification, où la conformité se joue autant dans le code informatique que dans les conseils d’administration.
Ce durcissement intervient dans un climat géopolitique plus instable, marqué par la prise de conscience d’une Europe « colonie numérique » de puissances extra-européennes et par la remise en cause de certaines alliances implicites. La dépendance à des clouds, des solutions de cybersécurité et des plateformes d’IA non européennes devient un risque stratégique à part entière, alors que les acteurs européens de la cyber ne captent encore qu’une fraction (moins de 15 %) de leur propre marché.
Dans le même temps, la promesse d’une IA générative omniprésente se heurte aux contraintes très concrètes de coûts, de consommation énergétique et de responsabilité. La question n’est plus de savoir s’il faut expérimenter, mais comment industrialiser des usages d’IA et de cloud en combinant souveraineté, sécurité, conformité réglementaire et objectifs ESG. C’est cette macro-architecture de confiance, à la fois juridique, politique, industrielle et environnementale, que nos échanges lors du CBC Toulouse 2025 ont essayé d’éclairer en donnant la parole aux juristes, aux représentants de l’écosystème cyber et aux communautés de RSSI.
Alain Bouillé, délégué général du Cesin
« Nous sommes vraiment une colonie numérique des États-Unis »
Il n’est pas dans les habitudes d’Alain Bouillé de tourner autour du pot. Preuve en est une nouvelle fois cet entretien cash. Pour le délégué général du Cesin, l’Europe reste “une colonie numérique des États-Unis”. Cette dépendance structurelle à des acteurs extra-européens pour le cloud et la cybersécurité est devenue un risque stratégique à part entière. Il analyse le tournant opéré par la France et l’Allemagne, désormais davantage alignées sur les enjeux de souveraineté, dans un contexte de durcissement géopolitique et de relations transatlantiques plus incertaines. Pour les RSSI réunis au sein du Cesin, la prise de conscience est claire : tant que les briques critiques de sécurité et d’infrastructure resteront majoritairement américaines, la résilience européenne restera sous condition.
L’entretien revient également sur le futur « radar » des solutions souveraines de cybersécurité, élaboré avec HexaTrust, qui vise à offrir enfin une cartographie exhaustive des offres logicielles françaises, structurées selon le référentiel du NIST. En filigrane, on retrouve les préoccupations très opérationnelles des RSSI : comment trouver rapidement une alternative européenne crédible pour chaque brique de la pile de sécurité ? Comment naviguer dans un maquis réglementaire de plus en plus dense, où NIS2, DORA et autres textes imposent des obligations de reporting parfois redondantes, que les projets d’« omnibus » européens cherchent à simplifier ? Une mise en perspective lucide, qui aide à relier les débats bruxellois aux arbitrages quotidiens des équipes sécurité.
Joffrey Célestin-Urbain, président du Campus Cyber
« On ne fera pas de souveraineté numérique européenne si on ne se connaît pas et si on ne se fait pas confiance »
Le Campus Cyber se présente comme le QG de la cybersécurité française, mais l’ambition de Joffrey Célestin-Urbain dépasse largement la tour de La Défense. Dans cet entretien, il explique comment le réseau des Campus Cyber, du national aux déclinaisons régionales comme celui d’Occitanie, peut devenir l’ossature d’un véritable cluster européen de la cyber. Objectif : relier les écosystèmes nationaux, partager les pratiques, structurer un marché intérieur capable de peser face aux grands acteurs extra-européens.
La souveraineté est ici abordée sous un double prisme. D’abord celui de la protection : aucun continent ne peut se dire souverain si la majorité de ses entreprises restent des « passoires » face aux attaques. Ensuite celui de la capacité industrielle : faire en sorte que la cybersécurité européenne soit assurée par des solutions européennes, dans un marché où ces dernières ne représentent encore qu’une part minoritaire. Rapprochements capitalistiques, mutualisation des ressources et montée en puissance des offres françaises et européennes composent ici le décor d’un chantier au long cours, qui parlera directement aux DSI soucieux d’acheter « souverain » sans renoncer à l’exigence de niveau de service.
François Gorriez, avocat, fondateur de Lawxer
« Le premier outil de cybersécurité, c’est le contrat »
Habituellement relégués aux directions juridiques, les contrats deviennent, dans la lecture de François Gorriez, une brique centrale de la cybersécurité d’entreprise. NIS2, DORA, RGPD : derrière ces textes, il y a une exigence claire de maîtrise de la supply chain numérique. Or, une grande partie des failles et incidents naissent chez les prestataires et sous-traitants. D’où la nécessité, pour les DSI et RSSI, de considérer le contrat comme un véritable outil de sécurité, au même titre qu’un EDR ou un SOC.
Au micro de Thomas Pagbé, François Gorriez détaille comment clauses techniques et organisationnelles, droits d’audit, exigences de notification d’incident et gouvernance de la donnée doivent être intégrés dès la négociation. Il présente aussi Lawxer, une application qui promet un « Juri-Score » des contrats, à la manière d’un Yuka de la cybersécurité, pour aider les équipes IT à évaluer rapidement le niveau de risque juridique des conditions signées. Enfin, la discussion s’ouvre sur l’IA Act, la propriété intellectuelle des contenus d’entraînement et générés par l’IA, et la nécessité de cartographier les usages d’IA dans l’entreprise. Autant de sujets qui annoncent un dialogue renforcé entre RSSI, DSI, juristes et métiers.
Oriana Labruyère, avocate, fondatrice de La Robe Numérique
« Il ne faut pas que la sobriété soit l’angle mort des projets IT »
Face à la vague des POC d’IA générative, la sobriété numérique semble avoir disparu des slides… mais pas des bilans carbone ni des comptes d’exploitation. Oriana Labruyère rappelle qu’on ne peut pas afficher des ambitions RSE et, dans le même temps, déployer massivement des modèles très consommateurs de données et de calcul sans interroger leur efficience réelle. La sobriété devient un critère de continuité d’activité autant qu’un enjeu d’image.
L’entretien revient aussi sur le rôle des data centers comme pièces maîtresses de la souveraineté européenne. Le « cloud qui n’existe pas » se résume à des bâtiments, à des emplois, à des choix industriels et énergétiques très concrets, portés ou non par une stratégie nationale et européenne. Entre coûts de l’IA, localisation des données, agilité nécessaire pour changer de fournisseur et impératifs RSE, les DSI se retrouvent face à une équation où chaque décision d’architecture engage la trajectoire ESG et financière de l’entreprise sur plusieurs années. Une conversation qui redonne de la profondeur stratégique à des débats trop souvent réduits à des arbitrages purement techniques.
À LIRE AUSSI :
À LIRE AUSSI :
