Secu
Souveraineté numérique : « Quand on ne veut pas trouver, on peut toujours faire semblant de chercher »
Par Thierry Derouet, publié le 05 juin 2026
Alors que Bruxelles veut relancer la souveraineté technologique avec le futur Cloud and AI Development Act, le CESIN a ramené le débat au terrain lors de Ready For IT 2026, à Monaco. Alain Bouillé, Alain Issarni et Arnaud Martin y ont démonté les objections classiques contre les solutions souveraines à partir de retours d’expérience concrets : 100.000 agents sans Microsoft Office, une clause contractuelle décisive à la CNAM, et une cartographie des dépendances dans le cloud, la cyber et l’IA.
La souveraineté numérique a longtemps eu le défaut des grands mots : elle rassemble dans les colloques, mais se dissout parfois dans les comités d’arbitrage. Trop cher. Pas assez mature. Pas à l’échelle. Mal documenté. Trop compliqué à déployer. Les objections sont connues, presque rituelles. Elles ont fini par former une sorte de folklore défensif, commode pour justifier l’inaction.
À Monaco, lors de Ready For IT, le CESIN a voulu prendre le problème par l’autre bout : non plus se demander si la souveraineté numérique est souhaitable, mais ce que les organisations risquent à ne rien faire. Et surtout, si les excuses invoquées depuis des années résistent encore à l’expérience. La question résonne d’autant plus fortement que l’Europe cherche, non sans retard, à structurer une réponse industrielle autour du cloud, de l’IA et des écosystèmes ouverts. Un sujet que nous analysions récemment dans notre décryptage sur Bruxelles, le cloud souverain et le lobbying autour du futur CADA.
Alain Bouillé, délégué général du CESIN, commence par la première des fausses excuses : « Ah, on ne savait pas que ça existait. » La formule prête à sourire, mais elle résume une réalité. Pendant longtemps, les offres françaises et européennes ont souffert moins d’une absence totale que d’un défaut de lisibilité. « À ma grande surprise, aucun [catalogue] ne les agrégeait et ne faisait un véritable catalogue du made in France », explique-t-il. Avec ExaTrust, le CESIN a donc travaillé à un cyberpanorama recensant environ 320 solutions françaises de cybersécurité.
La conclusion est nette : « Il n’y a pas de trou dans la raquette. » Pour Alain Bouillé, le marché français couvre les grandes familles de la cybersécurité. La bonne nouvelle, ajoute-t-il, est aussi une difficulté : « Le fait qu’il y ait 320 solutions, c’est peut-être une bonne nouvelle, mais ça peut être aussi une mauvaise nouvelle. Parce que ça veut dire qu’il y a besoin derrière tout ça de consolidation, de plateformisation. »
Autrement dit, le problème n’est plus seulement de faire naître des solutions. Il est de les rendre visibles, cohérentes, intégrables, finançables, capables de tenir dans les architectures des grands comptes. Cette question prolonge directement les débats ouverts autour de l’Union européenne face à l’épreuve de sa souveraineté numérique.
Le prix, ou l’art d’oublier les hausses de licences
Deuxième objection : le coût. Les solutions européennes seraient plus chères, parce que le coût du travail serait plus élevé, parce que les acteurs seraient plus petits, parce que les économies d’échelle seraient ailleurs. Là encore, Alain Bouillé renverse l’argument.
« Quand vous avez signé avec un Américain et que vous êtes plus ou moins client locké avec la solution, quand vous tapez trois années de suite 30 % d’augmentation sur le prix des licences, faites le calcul à la fin », lance-t-il. Le passage à la location logicielle a profondément changé le rapport de force. Une fois l’organisation enfermée dans une suite, une plateforme, un écosystème ou un contrat, la hausse tarifaire n’est plus un accident. Elle devient une trajectoire.
Là aussi, l’argument rejoint un sujet désormais familier des DSI : la souveraineté n’est pas seulement juridique ou politique. Elle est budgétaire. Elle se mesure dans la capacité à négocier, à sortir, à mettre en concurrence, à ne pas subir un packaging imposé. C’est le même fil que celui développé dans notre analyse sur la nécessité pour les DSI de se libérer progressivement de l’emprise de certains fournisseurs IT.
Alain Bouillé s’amuse d’ailleurs d’une contradiction très concrète. Le CESIN lui-même utilise encore Zoom pour certaines visioconférences de grande taille. « On n’a pas trouvé encore la solution qui nous permette de faire des visios à 250 comme on a l’habitude d’en faire », reconnaît-il. La remarque est importante : elle évite le catéchisme. La souveraineté n’est pas un absolu immédiat. Elle est une trajectoire, usage par usage, risque par risque.
Mais cela ne doit pas devenir une excuse générale. Sur la bureautique, il cite le Cigref : « 75 % des fonctionnalités d’Office 365 ne sont pas utilisées. » Dès lors, pourquoi payer, souvent très cher, une profondeur fonctionnelle dont la majorité des utilisateurs ne se sert jamais ? « Peut-être que si vous achetez un produit qui a un peu moins de fonctionnalités, mais qui est dix fois moins cher, vous finirez par vous y retrouver », glisse-t-il.
La DGFiP, ou 100 000 utilisateurs sans Microsoft Office
C’est ici qu’Alain Issarni apporte le retour d’expérience le plus massif de la table ronde. L’histoire commence il y a plus de dix ans, à la DGFiP. « J’ai commis une note qui a conduit à interdire la suite Office pour 100 000 personnes », raconte l’ancien DSI. À l’époque, il ne s’agit pas d’une expérimentation de laboratoire, mais d’un basculement à très grande échelle dans l’une des administrations les plus sensibles de l’État.
Le décor est presque romanesque pour un DSI : la maison mère des comptables, des fiscalistes, des fichiers, des tableurs, des agents dont Excel est parfois plus qu’un outil, presque un langage. « Vous savez tous quel est le principal outil des comptables ou des DAF : c’est Excel », rappelle Alain Issarni. Leur annoncer qu’ils allaient passer à Calc et LibreOffice n’avait donc rien d’anodin.
La résistance est venue d’en haut et d’en bas. « Il a fallu quelques années », dit-il. Il a fallu convaincre la direction, faire face au lobbying de Microsoft auprès du ministère, mais aussi affronter les réticences internes. Certains agents avaient le sentiment d’être « punis » parce qu’ils n’auraient plus une suite payante. Même certains informaticiens doutaient.
L’anecdote la plus savoureuse vient d’un fichier Excel transmis par une entreprise. Ouvert avec Excel, il affichait 100 dans une cellule. Ouvert avec Calc, il affichait 90. Preuve, aux yeux d’un informaticien réticent, que la migration n’était pas fiable. Sauf que l’explication était inverse : le tableau croisé dynamique d’Excel n’avait pas été actualisé après modification des données sources. « Finalement, c’est plutôt le fichier Calc qui affichait la bonne valeur plutôt que le fichier Excel », raconte Alain Issarni.
L’histoire vaut plus qu’une plaisanterie de tableur. Elle dit quelque chose de la domination culturelle des outils. Le produit installé depuis trente ans est présumé fiable, même lorsqu’il se trompe. L’alternative est présumée fragile, même lorsqu’elle a raison.
Plus de dix ans après, la DGFiP n’utilise toujours pas Office, n’a pas d’Active Directory Microsoft, pas de serveur Windows et pas de VMware, rappelle Alain Issarni. « Il me semble que là, c’est quand même une belle échelle : 100 000 personnes. » Et l’argument économique n’est pas secondaire : pour une organisation de cette taille, il évalue la non-dépense bureautique à « entre 12 et 15 millions d’euros tous les ans » qui ne partent pas chez Microsoft.
La comparaison qu’il propose est brutale. La DGFiP collecte environ 500 milliards d’euros d’impôts par an, avec un budget IT qu’il estime autour de 400 millions d’euros et un peu plus de 4 000 informaticiens. Face aux très grands groupes bancaires, souvent dotés de moyens sans commune mesure, il suggère que l’efficacité n’a pas nécessairement pâti de ces choix. Si le système fiscal ne fonctionnait pas, dit-il en substance, cela se verrait vite.
À LIRE AUSSI :
Le droit, ce levier sous-utilisé
L’autre histoire d’Alain Issarni se déroule à la CNAM, autour du Dossier médical partagé. En 2017, l’Assurance maladie récupère ce dossier médical, mais ne peut pas l’héberger elle-même. Il faut donc lancer une consultation.
C’est là qu’il introduit une clause simple, mais décisive : le titulaire du marché devait s’engager à ne jamais fournir les données à un tiers sans l’accord de l’Assurance maladie. Avant de l’inscrire, il prévient son directeur général : cela risque de faire parler. Réponse du DG : non seulement il ne l’interdit pas, mais il le demande. « Ça sert de temps en temps d’avoir des chefs ou des patrons qui soutiennent ce genre de choses », observe Alain Issarni.
Résultat : « Il n’y a pas eu un seul Américain qui a répondu à cet appel d’offres. »
La leçon est importante pour les acheteurs publics comme pour les grands comptes privés. Le code de la commande publique ne permet pas de tout faire. Il ne permet pas, par exemple, d’exiger frontalement une structure capitalistique conforme à certaines attentes de souveraineté. Mais il n’interdit pas d’exprimer un besoin réel. Et pour des données sensibles, demander qu’un prestataire ne puisse pas les transmettre à un tiers sans autorisation n’a rien d’exotique.
« Qui peut prétendre que ce n’est pas un vrai besoin quand on a des données sensibles ? », interroge Alain Issarni. Pour lui, ce type d’exigence ne devrait pas être un critère pondéré, mais un critère d’exclusion : si l’offre ne respecte pas la clause, elle n’est pas conforme. Point.
C’est une leçon très directe pour les DSI publics, les acheteurs, les juristes et les DPO. La souveraineté ne commence pas toujours par une grande doctrine. Elle commence parfois par une clause.
À LIRE AUSSI :
Mesurer avant de s’indigner
Arnaud Martin, directeur des risques opérationnels du groupe Caisse des Dépôts, apporte une autre tonalité. Moins militante, plus cartésienne. Il se défend d’endosser la posture du lobbyiste, du parlementaire passionné ou de « l’ayatollah RSSI ». Son sujet, c’est la mesure.
Tout le monde a beaucoup parlé du rapport Cigref-Asterès, qui a mis des chiffres sur la dépendance européenne au numérique américain. Mais, observe-t-il, on en a beaucoup parlé aussi parce qu’il existait peu d’autres mesures. Depuis, les questionnaires se multiplient : DGE, Haut-Commissariat au Plan, observatoires divers. C’est utile, mais insuffisant.
« Si on essaie de mettre un peu de cartésien dedans, essayer de le quantifier, je pense que c’est pas mal », explique-t-il. L’idée n’est pas de proclamer que toute dépendance est inacceptable. Elle est de savoir où elle se trouve, ce qu’elle touche, et ce qu’elle coûterait en cas de rupture.
L’exemple qu’il prend est volontairement trivial. À la Caisse des Dépôts, une application sert à réserver sa place de parking le matin. « Franchement, cette application-là, elle ne fait pas partie des applications critiques. Donc que je sois totalement dépendant en mode SaaS sur cette partie, ce n’est pas un sujet. »
Tout est là. La souveraineté numérique n’est pas un concours de pureté. C’est une analyse de criticité. Les applications périphériques peuvent supporter des dépendances que les processus critiques ne peuvent pas se permettre. Pour les fonctions critiques, il faut mesurer les risques financiers, les risques de rupture, les risques de kill switch, les dépendances d’infrastructure et les couches techniques qui soutiennent les applications.
« Même quand c’est de l’infrastique magique, ça ne tombe pas par la volonté du Saint-Esprit », ironise Arnaud Martin. Derrière chaque application critique, il y a du cloud, du réseau, de l’identité, des briques de sécurité, des bases de données, des hyperviseurs, des dépendances souvent invisibles aux yeux des directions générales. C’est précisément ce que nous pointions déjà dans notre analyse sur cloud, agents IA et dépendances maîtrisées : la souveraineté n’est plus un attribut déclaratif, mais une cartographie technique.
Le kill switch, ou le risque qui n’était plus théorique
Alain Bouillé reprend alors le mot qui circule désormais dans toutes les conversations : kill switch. « Le bouton magique sur lequel les Américains peuvent appuyer n’importe quand pour priver les sous-développés européens de la puissance sur le numérique », résume-t-il, dans une formule volontairement provocatrice.
Jusqu’ici, explique-t-il, les analyses de risque liées aux hyperscalers américains se concentraient surtout sur les sujets juridiques : lois extraterritoriales, accès potentiel aux données, « permis d’espionner » organisés par des textes étrangers. Cette lecture reste pertinente, mais elle devient insuffisante. « Ça, c’était une approche en temps de paix. »
Le changement géopolitique déplace le sujet. La question n’est plus seulement : où sont mes données sensibles ? Elle devient : quels processus critiques peuvent encore tourner si l’environnement politique, commercial ou réglementaire se durcit ? Alain Bouillé insiste sur ce point : « Un cloud souverain qui n’hébergerait que des données sensibles, il est mort avant d’être né. »
Ce glissement est essentiel. Dans beaucoup d’entreprises, les données les plus sensibles représentent une part limitée du volume total. Mais ce ne sont pas seulement les données qui font tourner une organisation. Ce sont les processus, les chaînes applicatives, les identités, les accès, les outils de supervision, les mécanismes de sécurité, les dépendances de production.
C’est pourquoi la souveraineté ne peut plus être traitée comme un sujet de conformité. Elle devient un sujet de continuité d’activité.
Dans la cyber, une fenêtre de tir existe encore
Alain Bouillé introduit néanmoins une nuance rassurante : dans la cybersécurité, il est parfois plus simple de changer d’outil que dans d’autres domaines du SI. Lors de la guerre en Ukraine, après les recommandations de l’ANSSI concernant Kaspersky, les organisations qui utilisaient cette solution ont migré vers autre chose. « Ni vu ni connu, ça s’est très bien passé », estime-t-il.
Changer d’EDR peut être complexe, mais reste possible. Changer de socle de virtualisation après des années de dépendance à VMware est une autre affaire. Les hausses tarifaires consécutives au rachat par Broadcom ont rendu le sujet brûlant, mais la sortie peut représenter plusieurs millions d’euros et plusieurs années de travail. Les inquiétudes des clients VMware avaient d’ailleurs été documentées dans nos colonnes, notamment autour de la crainte d’une envolée des tarifs sous l’ère Broadcom.
Dans la cyber, dit Alain Bouillé, il existe encore une forme de mobilité dont les DSI doivent profiter avant que les suites intégrées ne referment la porte. Le piège est connu : quand une organisation adopte un modèle « all inclusive », par exemple avec des licences très complètes, certains outils paraissent gratuits parce qu’ils sont inclus. Mais le jour où elle veut les remplacer, elle découvre qu’elle paiera deux fois : l’outil inclus qu’elle ne peut pas vraiment extraire du contrat, et l’alternative qu’elle souhaite déployer.
Les angles morts : SIEM, DDoS, IA
Arnaud Martin cite plusieurs zones où les dépendances restent rouges. Sur certains segments, notamment des solutions très critiques en mode SaaS, les alternatives européennes ne sont pas encore à l’échelle, voire inexistantes. Sur la protection DDoS, explique-t-il, le choix se limite souvent à des acteurs américains ou israéliens. La meilleure option européenne consiste parfois à passer par un opérateur européen qui opère lui-même une solution non européenne dans ses propres centres de données.
Le constat n’est pas confortable. « Elle fonctionne super bien, toutes. Mais par contre, elle est rouge écarlate », résume-t-il. Autrement dit, la qualité technique ne suffit pas à effacer le risque de dépendance.
Sur le SIEM, le même raisonnement apparaît. Les grandes institutions restent souvent liées à des solutions américaines. Une alternative française existe, mais il faut continuer à la financer pour qu’elle grossisse. Le sujet n’est donc pas seulement technologique. Il est capitalistique. Il faut de la commande, de l’investissement, des acquisitions, des regroupements, de la masse critique.
C’est aussi le sens du projet Horizon Numérique évoqué par Arnaud Martin à la Caisse des Dépôts : sélectionner un nombre limité de solutions, les financer, les utiliser, les faire croître par la commande publique et privée. « Le développement des systèmes passera aussi par des choix, aussi difficiles soient-ils, par du financement public, de l’achat public et de l’achat privé. »
Le même raisonnement vaut pour l’IA. L’Europe dispose encore d’un acteur plausible, observe-t-il. Il ne faudrait pas se retrouver dans deux ans à constater, une fois encore, que la dépendance est devenue trop forte. Les infrastructures d’entraînement, les GPU, l’hébergement, les capacités de calcul, les data centers et les clouds compatibles deviennent donc des sujets de souveraineté immédiate.
La souveraineté comme politique industrielle
Alain Issarni revient alors à l’économie. Selon lui, il faut cesser de réserver le sujet aux seuls cas où le risque est maximal. L’approche par le risque est indispensable, mais elle ne doit pas empêcher d’acheter français ou européen là où c’est possible, même lorsque l’usage n’est pas critique.
Il cite lui aussi les travaux Cigref-Asterès sur la dépendance européenne aux acteurs américains du cloud et du logiciel. Le message est simple : les commandes européennes financent massivement l’économie américaine. « Les commandes européennes IT vont financer les fonds de pension américains », résume-t-il.
Puis il fait une règle de trois. Si seulement 5 % des commandes aujourd’hui dirigées vers les acteurs américains basculaient vers des acteurs français ou européens, cela représenterait pour la France plusieurs milliards d’euros et des dizaines de milliers d’emplois. Le raisonnement n’est pas seulement patriotique. Il est industriel. Sans commande, pas de champions. Sans clients exigeants, pas de montée en gamme. Sans financement, pas d’alternatives crédibles.
La formule la plus dure tombe alors : « Quand on ne veut pas trouver, on peut toujours faire semblant de chercher. Ça donne bonne conscience. » Elle vise les grands donneurs d’ordre qui déplorent l’absence d’alternatives tout en ne construisant jamais les conditions de leur émergence.
Qui doit agir ?
Dans la salle, une question résume l’impatience : qui prend le risque managérial ? Qui agit ? Qui porte le changement ? Alain Issarni refuse de renvoyer la responsabilité aux seuls politiques. Le pouvoir politique ne suffit plus, estime-t-il, tant le niveau de dépendance est élevé. Il évoque l’épisode de la taxe GAFAM et les risques de représailles commerciales pour montrer la difficulté de l’arbitrage politique.
Les grands patrons ne suffisent pas davantage. Il cite Patrick Pouyanné, patron de TotalEnergies, qui a exprimé sa gêne d’avoir à choisir entre AWS, Google Cloud et Azure. Pour Alain Issarni, si un groupe de cette taille ne peut pas regarder ailleurs, il y a un problème. « Quand on ne veut pas trouver, on peut toujours faire semblant de chercher. »
Sa réponse tient en une formule : il faut activer tous les leviers. Le politique, les grands donneurs d’ordre, les directions achats, les DSI, les utilisateurs, les investisseurs, les conseils d’administration, les citoyens même. Tout le monde a un rôle, mais personne ne peut se réfugier derrière l’inaction des autres.
Arnaud Martin insiste, lui, sur un levier encore sous-exploité : le dialogue actionnarial. Les conseils d’administration doivent demander des comptes aux COMEX. Sans cette pression, les prises de risque resteront limitées. La souveraineté numérique ne peut plus être un sujet porté seulement par les DSI ou les RSSI. Elle doit devenir un sujet de gouvernance.
Alain Bouillé conclut sur le même point. Pendant des années, les DSI du SBF 120 ont signé, peu ou prou, les mêmes contrats avec les mêmes fournisseurs. « À un moment donné, ça ressemble quand même à du mouton de Panurge », observe-t-il. Mais le contexte change. « Aujourd’hui, le fait de dire “je choisis plutôt français” n’est plus considéré comme un risque. C’est le risque aujourd’hui, plutôt de choisir américain, qui va être questionné par les COMEX. »
Arrêter de lire les oracles
La dernière pique revient à Alain Issarni, fidèle à son art de la punchline. Aux DSI, il adresse une recommandation simple : « Arrêtez l’abonnement au Forrester et au Gartner. Arrêtez de lire ça et de vous y fier. Je pense que vous ferez la meilleure des économies et vous prendrez les meilleurs choix sans ces guides-là. »
La formule est excessive, donc utile. Elle rappelle que les matrices de marché ne sont jamais neutres. Elles valorisent souvent les acteurs les plus visibles, les plus internationaux, les plus puissants commercialement. Elles rassurent les directions générales, mais peuvent aussi reproduire les dépendances qu’elles prétendent objectiver.
La souveraineté numérique ne demande pas aux DSI de devenir militants. Elle leur demande peut-être quelque chose de plus difficile : redevenir acheteurs, architectes, arbitres. Mesurer les dépendances. Tester les alternatives. Utiliser le droit. Mobiliser les achats. Remonter les risques au COMEX. Et cesser de confondre confort de marché et rationalité stratégique.
Alain Issarni cite alors Mark Twain : « Ils l’ont fait parce qu’ils ne savaient pas que c’était impossible. » À la DGFiP, 100 000 agents ont travaillé sans Office. À la CNAM, une clause a écarté les acteurs incapables de garantir l’absence d’accès tiers non autorisé. À la Caisse des Dépôts, la dépendance se mesure désormais couche par couche, application par application, risque par risque.
La souveraineté numérique n’est donc pas un slogan. C’est une série de décisions modestes, techniques, contractuelles, budgétaires et managériales. Rien de spectaculaire. Juste ce qui, dans une organisation, finit par faire la différence entre choisir sa dépendance et la subir.
À LIRE AUSSI :
