Administrations et entreprises veulent échapper aux coupures de services, hausses tarifaires et lois extra-territoriales des géants du cloud. Mais comment s’y prendre concrètement ?
Le député Philippe Latombe prône une maîtrise des dépendances respectueuse de la loi (résilience, NIS2), et une résilience autour d’infrastructures européennes renforcées.
Deux ans après la promulgation de la loi SREN*, le décret d’application de son article 31 vient enfin d’être publié au Journal officiel, ce jeudi 16 avril. Conséquence : six GIP (groupements d’intérêt public) sont invités à s’affranchir des géants mondiaux du cloud pour héberger leurs données sensibles.
Il s’agit de l’Agence du numérique en santé, du Centre d’accès sécurisé aux données, du Centre ressources prévention de la radicalisation, du collecteur analyseur de données, du GIP modernisation des déclarations sociales et du système national d’enregistrement de la demande de logement social. Leurs infrastructures numériques doivent désormais retenir un cloud certifié SecNumCloud, la plus haute qualification actuelle de sécurité de l’ANSSI.
Jeudi 8 avril à Paris Expo, le député Philippe Latombe (première circonscription de Vendée) éclairait les visiteurs du Forum Cybersécurité à propos de la souveraineté numérique et industrielle, rappelant qu’il préside la Commission d’enquête sur les dépendances structurelles et les vulnérabilités systémiques du numérique, initiée par Cyrielle Chatelain, députée écologiste de l’Isère.
« Les données de santé des Français, notamment le SNDS (Système National des Données de Santé), ne seront plus hébergées en copies au sein de la plateforme Azure de Microsoft, mais sur une solution souveraine en cours de sélection. Dans le contexte géopolitique actuel, on voit qu’on ne peut pas se passer de cybersécurité, de souveraineté numérique, en tous cas de limitation des dépendances.«
Des signes encourageants
La prise de conscience est transpartisane, au Sénat et à l’Assemblée national, poursuit-il : « Depuis quelques mois, je note une volonté de l’ensemble des groupes politiques de travailler et d’avancer ensemble sur ces sujets. Certes, quelques ministères sont encore réfractaires à l’idée d’opérer des solutions souveraines, malgré la volonté des équipes d’utiliser des logiciels libres. Il y a plusieurs signes encourageants. » Selon lui, l’application de NIS2 et celle du texte résilience éviteront de nombreuses cyberattaques menées à partir d’ingénierie sociale, ce qui réduira par conséquent les fuites de données du domaine régalien.
Les centrales d’achats et les guides d’achats destinés aux fonctionnaires évoluent-ils dans le bon sens ? Philippe Latombe souligne d’anciens réflexes à abandonner : « Lors des dernières auditions menées au Sénat (Health Data Hub, Ecole Polytechnique, Microsoft, UGAP), on se rend bien compte que la sphère publique n’a pas forcément pris en compte la question de la souveraineté et des vulnérabilités. L’UGAP est contrainte à repenser sa grille de pensée vis-à-vis des clouders, mais on sait bien que les solutions états-uniennes rapportent plus à l’UGAP que les autres. Donc, il y a un tropisme particulier à fonctionner avec ces entreprises-là, ce qui est dommage. »
Interrogé par le président de l’association open source OW2 sur la migration des ministères vers la Suite – l’alternative à Office365 open source et souveraine, il se dit favorable à l’idée d’une suite libre collaborative portée par l’État et reconnaît la qualité du travail de la DINUM, mais s’inquiète d’une possible concurrence avec le secteur privé – soutenu en partie par France 2030 – et doute de la capacité à financer et maintenir durablement ce projet, dans un contexte de contraintes budgétaires.
D’autant qu’un morcellement des alternatives se profile : « Il y a la suite pour l’État, la suite territoriale des collectivités, certaines réinventant leur propre suite. Plusieurs suites vont se faire concurrence et ne profiteront pas de l’effet de masse, faute d’avoir rationalisé les choses. Lorsqu’on est morcelé avec des budgets morcelés, c’est toujours plus compliqué. J’aimerais bien qu’on dispose de quelque chose de commun plutôt. »
Montée en compétences cyber
Un responsable en charge de la transition numérique d’une grande métropole de l’arc méditerranéen souhaite vérifier comment l’État peut soutenir les collectivités contraintes à s’organiser par elles-mêmes sur la question de la souveraineté numérique. Le député élargit sa réponse au secteur public : « Les entreprises comme les collectivités demandent davantage de visibilité. L’Etat peut donner l’impulsion, encourager l’adoption de NIS2 sur la cybersécurité et accompagner des efforts de sensibilisation à l’aide de subventions. Je pense que sénateurs et députés peuvent s’entendre sur une montée en compétences cyber plus rapide et sur une indépendance vis-à-vis des solutions non européennes. Le paiement des licences de logiciels pourrait être perçu en partie comme un investissement, et pas seulement comme une dépense du fonctionnement. »
L’indice IRN pour améliorer sa résilience
Il suggère enfin un sur-amortissement des logiciels sur un an au lieu de trois, et des serveurs sur trois ans au lieu de cinq, ce qui permettrait d’investir davantage en période électorale, tout en signalant la volonté de changement des élus et décideurs.
L’enjeu dépasse la seule migration de Windows vers linux sur les postes clients et les serveurs, signale le député : « Il s’agit de pouvoir améliorer des processus, de vérifier leurs dépendances réelles et de les corriger, le cas échéant. »
Une gouvernance de la résilience des infrastructures, en somme. C’est justement l’objectif de l’indice de résilience numérique (IRN), lancé fin janvier 2026 par l’association à but non lucratif Digital Resilience Initiative, soutenu par un collectif incluant RTE, Docaposte et la Caisse des Dépôts et encouragé par Anne Le Hénanff, ministre déléguée chargée de l’Intelligence artificielle et du Numérique.
* La loi SREN (sécurisation et régulation de l’espace numérique) transpose les règlements européens DSA (Digital Services Act) et DMA (Digital Market Act).
