FR
  • Cyber stabilité
  • Secops
  • Gestion des risques
  • Transformation numérique
  • Souveraineté numérique
  • Cybercriminalité
  • Industrie et OT
  • Fraude
  • Identité numérique
  • Cyber +
    • La conformité au service de la souveraineté, le pari délicat de l’Europe

    La conformité au service de la souveraineté, le pari délicat de l’Europe

    Écrit par
    Xavier Biseul
    23.06.26
    Souveraineté numérique
    08
    MIN
    La conformité au service de la souveraineté, le pari délicat de l’Europe
    La conformité au service de la souveraineté, le pari délicat de l’Europe
    La conformité au service de la souveraineté, le pari délicat de l’Europe
    Image L’Inria et Wallix s’allient pour développer des modèles d’IA souverains dédiés à la cybersécurité
    Souveraineté numérique
    21.06.26 Souveraineté numérique
    Prochain article
    L’Inria et Wallix s’allient pour développer des modèles d’IA souverains dédiés à la cybersécurité
    Lire
    01
    MIN
    Image Traitement des données par la DGSI : le français ChapsVision remplace Palantir
    Souveraineté numérique
    18.06.26 Souveraineté numérique
    Prochain article
    Traitement des données par la DGSI : le français ChapsVision remplace Palantir
    Lire
    02
    MIN
    Image France : le gouvernement généralise l’usage de son IA souveraine à toute l’administration
    Souveraineté numérique
    16.06.26 Souveraineté numérique
    Prochain article
    France : le gouvernement généralise l’usage de son IA souveraine à toute l’administration
    Lire
    02
    MIN
    Image IA : face aux injonctions de la Maison Blanche, Anthropic a désactivé Fable 5 et Mythos 5
    Souveraineté numérique
    15.06.26 Souveraineté numérique
    Prochain article
    IA : face aux injonctions de la Maison Blanche, Anthropic a désactivé Fable 5 et Mythos 5
    Lire
    02
    MIN
    Pour réduire ses dépendances technologiques, l’Union européenne emprunte, comme souvent, la voie de la régulation. En multipliant les réglementations, elle tente de protéger ses données sensibles dans le cloud avec le risque d’entraver l’innovation. Le poids des lobbys se fait toutefois sentir.

    Les États-Unis innovent, la Chine copie et l’Europe régule. Longtemps entendue, la formule reste pertinente au fil des années à l’exception du rôle réducteur assigné à la Chine qui s’est depuis largement émancipé. Elle s’applique en tout cas au monde du numérique et plus particulièrement au cloud. 

    Une récente étude du Cigref, commanditée au cabinet Astérès, a rappelé notre dépendance aux États-Unis. Les fournisseurs américains captent 80 % des dépenses européennes en logiciels et services cloud professionnels, soit 265 milliards d’euros d’achats annuels. Ces dépenses génèrent, outre-Atlantique, environ 2 millions d’emplois directs, indirects et induits.

    Une fois ce constat posé, un des leviers pour réduire nos dépendances passe par la régulation. La conformité peut servir de bouclier pour assurer notre souveraineté avec le risque sous-jacent de perdre en compétitivité et en capacité d’innovation. Au cours d’une table ronde qui s’est tenue lors de l’édition 2026 du Forum INCYBER, experts, acteurs du numérique et politiques ont échangé, une heure et demie durant, sur l’importance d’allier conformité, sécurité et agilité.

    « Bruxelles a cédé sous la pression américaine »

    En attendant la présentation, une nouvelle fois reportée au 3 juin, par la Commission européenne du paquet « Tech Sovereignty » – qui inclura le Cloud and AI Development Act (CADA) et un Chips Act 2.0 -, les participant ont tout d’abord dressé un tableau du cadre réglementaire existant. La publication le 20 janvier dernier du Cybersecurity Act 2 a douché bien des espoirs. En révisant le règlement cyber européen, Bruxelles a exclu les critères de souveraineté dans la délivrance de certifications cloud. 

    Cette annonce pourrait sonner définitivement le glas du niveau le plus élevé du futur EUCS (schéma européen de certification des services cloud). En faisant obligation aux fournisseurs cloud d’être détenus majoritairement par des capitaux européens et d’avoir leur siège social dans l’UE, le niveau « high + » devait immuniser les organisations européennes des lois extraterritoriales et notamment américaines comme le Cloud Act, le Patriot Act ou le FISA (Foreign Intelligence Surveillance Act).

    Cet abandon en rase campagne met Henri d’Agrain dans une colère noire. Le délégué général du Cigref estime que la Commission européenne a cédé sous la pression américaine et l’accuse de méconnaître les réalités et les contraintes des entreprises. « Un schéma de certification homogène sur toute l’UE répond à un besoin clair. Celui de toute entreprise à vouloir protéger ses données sensibles et stratégiques » À son niveau, le Cigref a mis au point un référentiel décrivant un cloud de confiance et propose un « kit » pour rédiger la partie technique des appels d’offres.

    Le rôle moteur de la France

    Faute de parapluie européen, Shanna Leduc-Morin, chargée du cadre réglementaire du cloud et de la donnée à la Direction générale des entreprises (DGE), rappelle que la France dispose avec la qualification SecNumCloud du plus haut niveau de protection, sa version 3.2 assurant cette immunité aux lois extraterritoriales. Elle recourt à une image : « L’innovation est comme un train. Sans rails solides, on n’embarque pas ».

    Shanna Leduc-Morin énumère ensuite les récentes initiatives prises par le gouvernement français. En février, l’État a précisé sa doctrine sur les achats numériques de la sphère publique. Dans le cadre du plan France 2030, un appel à projets est venu renforcer l’offre de services cloud de confiance. De son côté, l’ANSSI a émis, dans un guide pratique, ses recommandations pour l’hébergement dans le cloud des systèmes d’information sensibles.

    Ce rôle moteur de la France peut aider nos voisins à s’engager dans cette voie à l’image du sommet franco-allemand sur la souveraineté numérique qui s’est tenu fin 2025. Lors de la table ronde, des participants ont exposé les initiatives développées dans leurs pays respectifs. En Espagne, Alba Arqueros, conseillère en politique de cybersécurité au Département de la sécurité nationale, décrit une approche globale associant certification, conformité et sécurité. Elle met en avant la méthodologie Ciclon qui répond à la nécessité d’évaluer en continu la sécurité des environnements cloud. « Aucune certification ne peut suffire à elle seule, il s’agit de se protéger contre les menaces spécifiques au cloud. »

    Faire émerger des alternatives aux hyperscalers

    Ambassadeur pour les affaires cyber aux Pays-Bas, Ernst Noorman rappelle que son pays a éprouvé concrètement les risques liés à la dépendance technologique. Pour avoir approuvé un mandat d’arrêt contre le Premier ministre israélien, des juges et des procureurs de la Cour pénale internationale (CPI) de La Haye ont été placés sous sanction américaine. Du jour au lendemain, ils se sont vu priver d’accès aux grandes plateformes américaines et de tout moyen de paiement (Visa, Mastercard).

    Cet épisode a suscité un vif débat aux Pays-Bas sur la stratégie numérique nationale, la dépendance aux Big Tech et la nécessité de recourir à des solutions cloud souveraines. Ernest Noorman se dit optimiste : « L’Europe est capable de faire émerger ses propres solutions cloud comme alternatives aux fournisseurs américains. » Il cite l’exemple d’Open Cloud Alliantie, une coalition de sept entreprises néerlandaises de la tech qui ont adopté des standards techniques communs afin d’assurer l’interopérabilité de leurs plateformes.

    CEO du cloud provider Outscale, marque de Dassault Systèmes, Philippe Miltin reconnaît que « les solutions européennes ne remplaceront pas du jour au lendemain celles des hyperscalers américains ». Pour autant, des acteurs comme Outscale offrent aujourd’hui « une capacité réelle à opérer de bout en bout, des projets sensibles, en intégrant des solutions d’IA souveraines comme celle de Mistral AI ». 

    À ses yeux, les critères de souveraineté ne se limitent pas à la nationalité des opérateurs, mais couvrent aussi une dimension technologique. Outscale a développé son propre orchestrateur cloud, Tina OS, à base de briques open source. Pour réduire sa dépendance à Nvidia, le leader mondial des processeurs graphiques (GPUs), le cloudeur a ouvert sa stratégie de sourcing à d’autres fournisseurs de composants.

    Selon Philippe Miltin, souveraineté rime avec réversibilité. C’est-à-dire la possibilité de passer d’un cloud à un autre sans être pénalisé par des coûts prohibitifs de frais de sortie. Enfin, il défend l’idée d’un « Buy European Act » dédié aux services cloud pour favoriser l’émergence de champions européens. Investi dans les questions liées au numérique, le député de Vendée (MoDem) Philippe Latombe croit également à l’exemplarité de la commande publique. « Pour un acteur privé, décrocher un contrat auprès d’une administration constitue une référence à même de rassurer le marché. »

    Jusqu’au pousser le curseur de la régulation ?

    Enfin, les participants à la table ronde se sont posé la question de savoir jusqu’où pousser le curseur de la régulation. Philippe Latombe met en garde sur une inflation des textes réglementaires. « La Commission européenne a accumulé un grand nombre de textes, parfois orthogonaux. » 

    Et quand elle cherche à simplifier, cela peut fragiliser l’édifice. Dans sa première mouture, le Digital Omnibus, visant entre autres à faciliter l’application du RGPD, conduit à redéfinir ce qu’est une donnée personnelle. Par ailleurs, des textes fondateurs comme le DMA et le DSA ont pu servir de monnaies d’échange par l’administration Trump lors de la négociation avec l’UE sur les droits de douane.

    Sans remettre en question l’importance de réguler, Ghislain de Salins, « Global Lead » cybersécurité à la Banque mondiale, plaide pour une convergence réglementaire au niveau européen voire international avec l’appui d’organismes comme l’ISO. Il met en garde contre une réglementation excessive qui pourrait freiner l’innovation et limiter l’accès du Vieux Continent aux technologies les plus avancées. 

    Ce constat s’applique, selon lui, au cloud aujourd’hui et à l’intelligence artificielle demain. « Imaginons qu’une future législation européenne interdise l’usage de systèmes d’IA non européens pour traiter des données sensibles. Cela pourrait nuire fortement à la productivité de l’Europe en la privant de modèles très performants, même si elle dispose de ses propres acteurs comme Mistral AI. » 

    Ghislain de Salins défend une position d’équilibre : éviter à la fois la dépendance totale et l’autosuffisance complète qui serait, de toutes façons, irréaliste dans une chaîne de valeur numérique largement mondialisée. L’iPhone est conçu en Californie, assemblé en Chine, avec des puces fabriquées à Taïwan. Mistral AI, lui-même, recourt aux puces de Nvidia. La souveraineté repose aussi sur l’accès à une chaîne d’approvisionnement diversifiée, permettant de passer facilement d’un fournisseur à l’autre.

    Xavier Biseul
    23.06.26
    Articles du même auteur :
    1
    11.06.26 Cybersécurité
    Blanchiment d’argent : comment les réseaux criminels exploitent les comptes bancaires « ordinaires »
    Lire
    09
    MIN
    2
    25.05.26 Cyber +
    Pourquoi Mythos signe la fin du patch management traditionnel
    Lire
    12
    MIN
    3
    08.04.26 Cybersécurité
    Forum INCYBER 2026 Dépendances numériques : l’Europe à l’heure des choix
    Lire
    16
    MIN
    4
    18.03.26 Cybersécurité
    Retour d’expérience : comment Colas surveille son exposition en ligne dans le monde entier
    Lire
    06
    MIN
    Image L’Inria et Wallix s’allient pour développer des modèles d’IA souverains dédiés à la cybersécurité
    Souveraineté numérique
    21.06.26 Souveraineté numérique
    Prochain article
    L’Inria et Wallix s’allient pour développer des modèles d’IA souverains dédiés à la cybersécurité
    Lire
    01
    MIN
    Image Traitement des données par la DGSI : le français ChapsVision remplace Palantir
    Souveraineté numérique
    18.06.26 Souveraineté numérique
    Prochain article
    Traitement des données par la DGSI : le français ChapsVision remplace Palantir
    Lire
    02
    MIN
    Image France : le gouvernement généralise l’usage de son IA souveraine à toute l’administration
    Souveraineté numérique
    16.06.26 Souveraineté numérique
    Prochain article
    France : le gouvernement généralise l’usage de son IA souveraine à toute l’administration
    Lire
    02
    MIN
    Image IA : face aux injonctions de la Maison Blanche, Anthropic a désactivé Fable 5 et Mythos 5
    Souveraineté numérique
    15.06.26 Souveraineté numérique
    Prochain article
    IA : face aux injonctions de la Maison Blanche, Anthropic a désactivé Fable 5 et Mythos 5
    Lire
    02
    MIN
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.