![Le [Kill Switch] américain dans la cybersécurité : une réalité ?](https://incyber.org//wp-content/uploads/import/post/2022/06/cyber-souverainete-europeenne-reve-ou-realite-1254x735.jpg)
Le Kill Switch américain dans la cybersécurité : une réalité ?
Un mot du président Donald Trump, et toute la cybersécurité française s’effondre. Soyons clairs : cette vision apocalyptique ne correspond pas à la réalité du milieu. Mais se poser la question des dépendances, bien réelles, aux services numériques américains est devenu indispensable. Car le chaos politique outre-Atlantique a fait passer le gouvernement américain d’allié inconditionnel de l’Europe à belligérant potentiel, au moins sur le plan commercial.
Ne pas mettre tous ses oeufs dans le même panier : voilà la leçon globale que les entreprises françaises de cybersécurité retirent de la nouvelle donne géopolitique. Si les solutions américaines restent dominantes sur le marché, grâce à leur puissance de frappe et leur efficacité, elles sont de plus en plus souvent complétées par d’autres basées ailleurs, que ce soit en Israël ou en Europe.
Globalement, qu’est-ce qui a changé depuis la réélection de Donald Trump début 2025 ? « Rien, et tout. Rien, parce que les dépendances structurelles ne se dénouent pas en dix-huit mois : elles sont inscrites dans nos architectures, nos contrats, nos compétences. Tout, parce que le risque est passé du théorique au tangible. » explique Franck Rouxel, président de Klaerenn et vice-président de la fédération française de la cybersécurité. Nous sommes passés du théorique au tangible, de l’impossible à l’improbable.
Le nœud du problème de la dépendance des entreprises de cybersécurité françaises aux solutions américaines, c’est le temps. Si, comme le reconnaît Vincent Laurens, directeur Gouvernance et gestion des risques pour les services Cloud Infrastructure de Capgemini, « la souveraineté depuis Trump 2 est devenue centrale pour nos clients », il reste qu' »une indépendance numérique totale est un objectif irréaliste à l’horizon d’une décennie », selon Franck Rouxel.
C’est que parler de dépendance aux services numériques américains recouvre plusieurs réalités et plusieurs types de dépendances. « Il y a la dépendance vis-à-vis d’un fournisseur, la dépendance économique, qui peut être exploitée sous forme de vendor lock-in, et enfin la dépendance juridique » détaille Henri d’Agrain, délégué général du CIGREF, association qui accompagne les grandes entreprises et administrations publiques dans leur maîtrise du numérique. Si le vendor lock-in, le fait de dépendre de l’écosystème d’un seul fournisseur, n’est pas nouveau, la dépendance juridique découlant de l’application extraterritoriale des lois américaines dans le domaine du numérique est, elle, revenue sur le devant de la scène depuis le retour de Donald Trump à la Maison-Blanche.
Si le fameux Cloud Act de 2018 permet aux autorités outre-Atlantique d’accéder aux données hébergées par des sociétés basées aux États-Unis, ou de nationalité américaine, il ne posait qu’un problème de compatibilité juridique de longue haleine avec le RGPD jusque là. Mais depuis que la confiance envers la présidence américaine s’est sérieusement effritée, les inquiétudes d’espionnage industriel ou de rétorsion commerciale apparaissent.
« Microsoft ne va pas « couper les accès » du jour au lendemain, ce serait un suicide commercial. Le vrai risque est plus subtil : ralentissement des flux de threat intelligence, restrictions d’export sur certaines fonctionnalités avancées, dégradation des cycles de mise à jour de signatures… » détaille Franck Rouxel.
Ceci étant dit, le milieu de la cybersécurité est construit de manière résiliente. Comme l’explique Vincent Laurens, « tous les éditeurs de solutions cyber, qu’ils soient américains ou non, se concentrent sur la localisation de la donnée et des infrastructures. Non seulement ils établissent des data centers en Europe, mais ils garantissent une déconnexion et une indépendance de leurs solutions, qui peuvent fonctionner sans accès provenant des États-Unis ». Et d’enchaîner : « Par exemple à Cap Gemini nous proposons Bleu, une offre de cloud conçue pour tourner même en mode souverain. »
Plus généralement, les normes d’indépendance numérique ont le vent en poupe. Il y a le SecNumCloud, « intéressant, mais qui a le défaut de n’être que national », selon Henri d’Agrain, qui lui préfère l‘indice de résilience numérique lancé en janvier 2026, notamment pour sa visée européenne. Cela reflète un sentiment partagé par une vaste partie de l’industrie numérique du Vieux Continent : pour contrer les influences étrangères, il faut penser à l’échelle de l’Union européenne, et non pas à l’échelle nationale. Comme le dit Henri d’Agrain : « Il n’y a pas d’avenir pour une économie qui ne développerait pas ses propres outils numériques. »
Le débat a aussi son penchant légal, avec l’EUCS, ou European Union Cybersecurity Scheme for Cloud Services. Sans surprise, sa partie la plus âprement discutée est celle du critère d’indépendance aux lois d’extra-territorialité. « Dès qu’il faut étendre l’exigence d’immunité aux lois extraterritoriales à l’échelle européenne, le compromis politique s’effondre. » note Franck Rouxel.
Comment faire, alors, pour assurer une continuité des services et une indépendance des données dans ce climat complexe ? Pour commencer, il faut correctement définir les risques.
« La souveraineté n’est pas binaire, c’est un spectre. Le bon objectif n’est pas l’autarcie, c’est la dépendance résiliente : la capacité à dégrader proprement si un fournisseur critique défaille, volontairement ou non. L’incident CrowdStrike de juillet 2024 a été une répétition générale : une erreur de mise à jour a cloué au sol une partie de l’économie mondiale en quelques heures. Imaginez la même chose, mais politiquement motivée. » décrit Franck Rouxel.
Prenons l’exemple de Google Cloud Platform. « Ils ont un niveau de sécurité remarquable, il y a très peu de risques de rupture de service », reconnaît Henri d’Agrain. En soi, rien de surprenant : l’hégémonie américaine dans le domaine du numérique s’explique d’abord et avant tout par une offre commerciale extrêmement robuste. Il n’y a pas de hasard. Mais Google, comme les autres principaux fournisseurs de cloud américains, augmente ses tarifs de plus de 10 % par an depuis plusieurs années. Les entreprises résidant entièrement dans leur écosystème pourraient donc se retrouver petit à petit piégées, et obligées de payer un tarif supérieur aux autres offres du marché.
Selon Vincent Laurens, « le passage aux acteurs full souverain, c’est une illusion, c’est plutôt un choix de dépendance. On peut avoir des dépendances multiples, il faut analyser la dépendance par rapport à ses objectifs. Ça peut vouloir dire piocher dans les solutions américaines, israéliennes… »
Pour Henri d’Agrain, chaque entreprise doit réfléchir la souveraineté selon son contexte propre : « Il n’y a pas de logique homogène, ça dépend du secteur d’activité, de secteur géographique de déploiement… ».
Cela explique peut-être les résultats du baromètre 2025 de Ernst & Young, qui révèle qu’au sein des entreprises de cybersécurité françaises, 40 % ne réalisent aucune veille sur les solutions souveraines disponibles. Est-ce un manque de prévoyance, ou des entreprises qui ont analysé leur situation et formé l’opinion que le risque est trop faible pour l’instant ?
C’est peut-être simplement une question de temporalité. Selon la même étude, 79 % des entreprises interrogées estiment que la souveraineté deviendra un critère de choix majeur dans les années à venir.
Au-delà de la dépendance directe aux solutions numériques américaines, liée à l’hébergement des données ou du logiciel, il existe d’autres types de dépendances, parfois cachées.
« La dépendance n’est pas que technologique, elle est cognitive — nos analystes sont formés sur des playbooks américains. » explique par exemple Franck Rouxel. Globalement, l’industrie de la cyber française et européenne semble fonctionner sur le même mode de pensée que leurs gouvernements pour les sujets militaires. Depuis la Guerre Froide, les États-Unis sont devenus plus qu’un allié : un véritable socle sur lequel construire sa défense.
Jusqu’à quand ? Et faut-il juste prendre son mal en patience jusqu’à la fin du second mandat de Donald Trump en 2028 ? Ou bien faut-il construire dès aujourd’hui un écosystème cohérent de cybersécurité qui peut fonctionner sans les solutions américaines ? Si c’est cette dernière option qui est choisie, le chantier est vaste. Il faudra que le monde européen de la cybersécurité avance main dans la main avec les états. Comme le dit Vincent Laurens, « notre rôle est d’identifier les dépendances. Le rôle de l’Europe est de soutenir l’innovation ». Et comme le dit l’expression, le meilleur moment pour planter un arbre était il y a 20 ans, le deuxième meilleur moment, c’est aujourd’hui.