Gouvernance

Entre Cigref, collectivités et éditeurs, 50 nuances de souveraineté IT en débat

Par Thierry Derouet, publié le 26 septembre 2025

Souveraineté, indépendance, autonomie : les mots ont résonné tout au long de notre matinale du 18 septembre. Derrière les discours, une réalité s’impose : la France avance par fragments, entre cloud souverain, open source, cloud de confiance et choix pragmatiques de terrain.

Dès l’ouverture, Emmanuel Sardet, président du Cigref, a donné le ton : « La souveraineté numérique n’est pas un supplément d’âme. C’est une condition de compétitivité et de résilience. » Pour lui, chaque dépendance technologique fragilise les entreprises : « Nos organisations ne peuvent plus se contenter de consommer du cloud comme une commodité. Elles doivent se demander ce que signifie vraiment la maîtrise de leurs infrastructures et de leurs données. »

Le message est clair : ce qui relevait hier des cénacles d’experts monte désormais aux comités exécutifs. Et si la souveraineté reste une prérogative de l’État ou de l’Union, l’autonomie stratégique incombe aux entreprises elles-mêmes, qui doivent identifier ce qu’elles acceptent de déléguer et ce qui doit être protégé. Emmanuel Sardet cite deux priorités : le cœur du savoir-faire – la recherche, l’innovation – et les services vitaux, qu’il s’agisse de santé, d’énergie ou de finance. Une approche qui, pour le Cigref, ne peut réussir qu’à l’échelle européenne, à travers une certification commune, l’EUCS, appelée à succéder à SecNumCloud.

Quand l’économie rattrape la politique

Une intervention aussitôt prolongée par Sébastien Lescop, directeur général de Cloud Temple : « Le cloud souverain ne peut pas être une incantation politique, c’est un pari économique. » La souveraineté doit séduire par sa valeur, non par décret.

Sébastien Lescop insiste : « Nous serons jugés sur la disponibilité, la sécurité, le support. Il ne suffit pas d’être français pour être choisi. » Les entreprises, selon lui, sont entrées dans une « phase d’infusion » : le sujet est désormais présent dans chaque rendez-vous, mais les décisions prennent dix-huit à vingt-quatre mois. Et d’ajouter une pique à la commande publique, encore timide : « Le secteur public pèse à peine 6 % des achats cloud, contre 94 % pour le privé. On attend de lui qu’il donne l’exemple. »

La comparaison avec l’aéronautique n’est pas loin : Airbus, né cinquante ans après Boeing, a pourtant conquis une place de leader. « Le cloud, dit-il, est une industrie lourde. Il faut du temps et une stratégie pérenne. »

Le compromis du cloud de confiance

À ce réalisme économique, Blaise Vignon, directeur produit et marketing de S3NS, oppose une autre voie : celle du cloud de confiance, construit avec Google mais contrôlé par Thales. « L’indépendance ne signifie pas l’autarcie. Elle peut se construire avec des partenaires internationaux, à condition que les garanties locales soient irréprochables. »

Mais ses explications suscitent des doutes. À la question, posée en ligne, de savoir ce qui se passerait si Google mettait fin au partenariat, Blaise Vignon répond sans détour : « Google est pour nous un fournisseur de technologies. Le logiciel est livré, inspecté et opéré par S3NS, de façon indépendante. » L’argument repose donc sur l’« indépendance opérationnelle ». Pas suffisant pour certains auditeurs, qui s’inquiètent des licences américaines et du Cloud Act, craignant un « pansement sur une jambe de bois ».

Blaise Vignon persiste : l’enjeu n’est pas tant le prix que le « coût caché » de la souveraineté, ces sacrifices fonctionnels que les DSI redoutent, faute de services managés ou de roadmap IA claire. « Ce que nous voulons apporter, dit-il, c’est la richesse de Google Cloud dans un cadre souverain. » L’hybridation, la proximité avec GCP et la réutilisation des compétences existantes doivent, selon lui, convaincre les directions générales.

L’open source, antidote radical

Les questions arrivent encore quand Thomas Belarbi, directeur commercial secteur public chez Red Hat, entre en scène. Il tranche : « Sans transparence du code, il n’y a pas de souveraineté réelle. » À ses yeux, seule l’approche open source permet de bâtir une indépendance durable : « Ce n’est pas une certification qui crée la confiance, c’est la capacité à auditer, adapter, faire évoluer. »

Un auditeur objecte : Kubernetes, pilier des infrastructures modernes, reste piloté par des ingénieurs majoritairement américains. Thomas Belarbi reconnaît le déséquilibre mais dénonce une erreur de perspective européenne : « Outre-Atlantique, on valorise le développeur comme matière grise. Ici, trop souvent, l’open source est perçu comme gratuit. »

Il appelle les entreprises françaises à investir dans les communautés, à y mettre du temps, des moyens, de l’argent : « L’open source est mondial. Il attend que l’Europe y mette du poids. » Et face aux inquiétudes sur la pérennité, il rappelle que l’intégralité d’Internet repose sur ces briques : « L’open source d’aujourd’hui n’a rien à voir avec le bricolage d’hier. » Red Hat, explique-t-il, mise tout sur l’upstream et la contribution communautaire, avant de certifier et sécuriser pour la production. « Le meilleur des deux mondes. »

Oracle : la réversibilité comme horizon

À ce stade, Damien Rillard, senior director en charge de la souveraineté cloud chez Oracle, adopte un ton plus pragmatique : « La souveraineté, c’est la liberté de choisir et de changer. Une entreprise doit pouvoir quitter une plateforme sans craindre le verrouillage. »

Face aux critiques sur l’absence de certification SecNumCloud, il défend une souveraineté « protéiforme », citant le cloud souverain européen d’Oracle, déployé dans six pays avec 1 400 employés sous contrats locaux et isolés du reste du groupe. « Le Cloud Act n’a pas de prise, car ces entités n’ont ni la possession ni le contrôle des données », assure-t-il, évoquant les clauses contractuelles, l’isolation physique et le partenariat avec Thales pour le chiffrement des clés.

Son discours se veut rassurant : « La vraie question, dit-il, n’est pas la nationalité du capital, mais qui contrôle et sous quelle loi. » Et de rappeler que le cloud européen d’Oracle propose déjà l’accès aux plus grands modèles d’IA, de GPT à Gemini, dans un environnement sécurisé et isolé.

Les réalités du terrain : innovation et collectivités

Le débat aurait pu rester cantonné aux grandes manœuvres géopolitiques, mais Christophe Grosbost, directeur de l’Innovation Makers Alliance, l’a ramené au concret : « Les filières industrielles doivent trouver leurs marges de manœuvre. Cela suppose d’anticiper ensemble, de bâtir des alternatives crédibles et de soutenir les initiatives locales. »

Antoine Trillard, DSI de la Ville de Chelles et président du Coter Numérique, enfonce le clou. Pour lui, la souveraineté commence par la maîtrise des données sensibles, mais elle se heurte à des contraintes budgétaires et à la lourdeur réglementaire. Les collectivités, rappelle-t-il, vivent avec des SI fragmentés, souvent encore hébergés on-premise. Certaines, comme Lyon ou Nanterre, osent basculer vers des suites collaboratives libres, mais le changement reste difficile après vingt ans passés dans l’écosystème Microsoft. « Comme un utilisateur d’iPhone passant à Android, les agents se sentent perdus, dit-il. Il faut trois ans pour les accompagner. »

L’exemple de Chelles, qui a remplacé Office 365 par ExoPlatform et BlueMind, montre pourtant que des alternatives existent, même si elles demandent de l’audace et de la pédagogie.

Une souveraineté aux visages multiples

Au fil de la matinée, les visions se sont heurtées. Emmanuel Sardet a insisté sur la dimension stratégique et européenne. Sébastien Lescop a ramené le sujet à l’équation économique. Blaise Vignon a défendu le compromis du cloud de confiance, contesté par Thomas Belarbi, pour qui seule la transparence du code garantit l’indépendance. Damien Rillard a prôné la réversibilité et la liberté contractuelle, tandis que Christophe Grosbost et Antoine Trillard rappelaient les réalités industrielles et territoriales.

En filigrane, un constat s’impose : il n’existe pas une souveraineté IT, mais plusieurs définitions concurrentes.

À LIRE AUSSI :

Le CIGREF applaudit l'avis de la CSNP pour réintégrer les critères d'immunité dans l'EUCS

Cloud

Le Cigref soutient la CSNP dans ses griefs contre l’EUCS

Laurent Delattre

9 Sep

Entre Cigref, collectivités et éditeurs, 50 nuances de souveraineté IT en débat

Thierry Derouet

26 Sep
Short S2E29 – L’histoire derrière Diella, l’IA devenue ministre albanaise

Alessandro Ciolek

26 Sep
Cybersécurité : SentinelOne veut séduire les PME avec une offre IA managée

Frédéric Bergonzoli

26 Sep
Cybersécurité industrielle : Hermitage mise sur Xage Security pour renforcer la cybersécurité industrielle en France

Frédéric Bergonzoli

26 Sep
Snapdragon Summit : Qualcomm riposte à Apple, Intel et Nvidia, redéfinissant smartphone et PC

Laurent Delattre

26 Sep
L’IA ne peut pas s’autofinancer : le rapport Bain révèle l’équation impossible de la révolution IA

Laurent Delattre

25 Sep
Pourquoi l’ISO 27001 sans gestion de crise efficace reste une coquille vide

La rédaction

25 Sep
Huawei devient l’arme maîtresse de Pékin dans la guerre des IA

Laurent Delattre

25 Sep
Sophos muscle ses défenses contre les ransomwares avec Rubrik et Halcyon

Frédéric Bergonzoli

25 Sep
MCL crée MCL Solutions pour dynamiser l’accompagnement des partenaires

Vincent Verhaeghe

25 Sep