Cybersécurité : “Vous ne vous intéressez pas à la géopolitique… La géopolitique, elle, s’intéresse à vous !”

Longtemps perçue comme un enjeu purement technique, la cybersécurité est désormais au cœur de l’échiquier géopolitique. La montée des tensions internationales, les guerres commerciales, les restrictions réglementaires ou encore les ruptures de chaînes d’approvisionnement ont placé les entreprises face à une nouvelle équation : comment peuvent-elles intégrer la géopolitique dans leur politique numérique pour assurer la sécurité de leurs systèmes d'information ? Entretien avec Laurent Célérier, enseignant à Sciences Po et cadre dirigeant chez Orange Cyberdéfense, qui appelle à une urgente montée en maturité des entreprises sur le sujet.

Fin de la “géopolitique heureuse” : risques et opportunités

« La géopolitique heureuse est terminée. » C’est par cette affirmation que Laurent Célérier ouvre notre discussion. L’expert constate que le temps où les entreprises pouvaient ignorer les réalités géopolitiques dans leurs choix technologiques appartient définitivement au passé. “Pendant un demi-siècle, des chaînes de valeur extrêmement globalisées se sont construites dans une relative indifférence des frontières politiques”, constate-t-il. Ce critère ne peut plus être ignoré : “Tout le domaine de l’IT — et en particulier la cyber — va devoir monter en maturité sur ce sujet. Ils ne peuvent plus considérer que ça ne les concerne pas.” Les tensions géopolitiques redéfinissent le paysage de la cybersécurité ; les entreprises en prennent progressivement conscience.

Selon le dernier rapport du Forum économique mondial, près de 60 % des organisations ont déclaré que leur stratégie cyber avait été influencée par des facteurs géopolitiques en 2024. Cela se traduit concrètement par des ruptures dans les chaînes d’approvisionnement, l’arrêt d’opérations dans certains pays, ou le remplacement de fournisseurs jugés sensibles. Le cas Kaspersky est parlant : depuis l’invasion de l’Ukraine, le géant russe de la cybersécurité est devenu persona non grata. Les États-Unis ont interdit ses logiciels pour des raisons de sécurité nationale ; l’Allemagne et plusieurs pays européens ont suivi. « C’est très simple : plus personne ne veut en entendre parler », résume Laurent Célérier.

Les droits de douane imposés par les États-Unis sont également illustratifs des conséquences géopolitiques sur les politiques de cybersécurité. Laurent Célérier rappelle qu’aujourd’hui, en France, au moins 90 % des technologies utilisées dans la cyber sont américaines. “La dépendance technologique accumulée pendant les dernières décennies rend le réveil douloureux pour les entreprises.” Le rapport du CIGREF de février 2025, “Géopolitique et stratégie numérique”, souligne d’ailleurs la montée en puissance de la souveraineté numérique comme critère stratégique dans les achats IT. Cette logique rebat les priorités : performance technique, coût et conformité cèdent du terrain à la résilience, à la maîtrise des dépendances et à l’alignement géopolitique.

Ces guerres commerciales peuvent paradoxalement créer des opportunités pour les alternatives européennes. Laurent Célérier décrit l’existence d’un « consentement à payer pour la souveraineté » qu’il chiffre à environ 15 %. En d’autres termes, les entreprises sont prêtes à assumer un surcoût pour des solutions souveraines alignées avec leurs intérêts stratégiques. Dans le contexte actuel, « si vous comparez ces 15 %, à 25 % de droits de douane des États-Unis, votre offre devient non seulement souveraine mais également compétitive », explique-t-il. Cette nouvelle donne pourrait ainsi profiter à une nouvelle génération d’acteurs comme Mistral ou Helsing, qui incarnent une (re)conquête technologique possible, d’un secteur extrêmement concentré.

Géopolitique et politique numérique des entreprises : une gouvernance à réinventer

« La prise en compte de la géopolitique dans l’entreprise est encore insuffisante », diagnostique Laurent Célérier. Trop souvent, cette dimension « est restée uniquement la responsabilité du conseil d’administration, du COMEX ou du PDG ». Or, comme il le souligne, « il n’a pas forcément les compétences, le temps et le niveau de détail opérationnel nécessaire ».

Il existe un décalage entre les préoccupations des directions générales et celles des responsables cybersécurité. Les données du Forum économique mondial sont éloquentes : 45 % des RSSI (Responsables de la Sécurité des Systèmes d’Information) redoutent avant tout les perturbations opérationnelles, alors que les PDG craignent principalement l’espionnage industriel et la perte de propriété intellectuelle. « Cette divergence reflète des horizons temporels radicalement différents », analyse Laurent Célérier. « Le CEO pense en priorité à la pérennité de l’entreprise à moyen terme, sur cinq ou dix ans. Le RSSI, lui, doit garantir la sécurité de l’IT à 99,999 % aujourd’hui, à la seconde près. »

La gestion de la stratégie géopolitique de l’entreprise ne peut pas non plus reposer sur l’externalisation pure : « Les cabinets externes connaissent mal votre activité. » Laurent Célérier observe que « les seules entreprises qui arrivent à être performantes dans ce domaine sont celles qui ont une activité nativement géopolitique », comme Total ou CMA-CGM. Il préconise une approche structurée en trois temps : nommer un Chief Geopolitical Officer pour incarner le sujet (ou à défaut, identifier un leader interne capable de porter cette mission) ; s’appuyer sur des réseaux d’expertise (universitaires, ministères, analystes…) et développer des capacités d’analyse contextualisées, spécifiques aux choix technologiques.

À cet égard, Laurent Célérier fournit une grille d’analyse pour guider les décisions géopolitiques, notamment dans le choix des éditeurs, autour de quatre questionnements :

Examiner l’origine des solutions (éditeur, nationalité, stabilité politique, alignement géopolitique avec mon pays, déficit commercial…) ;
Cartographier précisément la localisation physique des données et contrôler les circuits d’accès aux données (employés, sous-traitants, prestataires, filiales à l’étranger…).;
Identifier les lois applicables (nationales, extraterritoriales…) ;
Évaluer la résilience de ce choix, notamment sa capacité à fonctionner en autonomie durant une période donnée.

Les entreprises doivent désormais intégrer la dimension géopolitique dans leurs décisions technologiques. La cybersécurité n’échappe pas à cette nouvelle réalité : les dépendances stratégiques, les risques réglementaires et les enjeux de souveraineté influencent directement les choix d’infrastructures et de fournisseurs. Comme le résume le CIGREF, “la DSI doit s’affirmer comme un pilier stratégique de l’organisation, capable de naviguer dans un contexte numérique fragmenté et polarisé.” La question n’est plus de savoir si la géopolitique concerne les entreprises, mais comment elles peuvent l’intégrer de manière pragmatique dans leur stratégie numérique.