Stratégie

Conférence CIO souveraineté : où se situent les freins à l'indépendance

De gauche à droite : Rania Baroudi (Dexia), Cyrielle Chatelain (députée et rapporteure de la commission sur les dépendances numériques), Bernard Giry (région Ile de France), Eric Singer (Cesin).

Face à la domination des acteurs américains et à l'accélération des transformations technologiques, entreprises et administrations françaises cherchent à reprendre le contrôle de leur SI. Les débats de la récente conférence CIO sur le sujet mettent en lumière des dépendances structurelles, des contraintes réglementaires et une offre européenne encore insuffisante. Autant d'obstacles qui rendent le chemin vers l'indépendance semé d'embûches.

Publicité« Janvier 2025 a été un point de bascule avec l'arrivée de Trump au pouvoir qui a mis en exergue nos fragilités par rapport aux dépendances américaines », constate Cyrielle Chatelain, députée de l'Isère et rapporteure de la commission d'enquête de l'Assemblée nationale sur les dépendances structurelles et les vulnérabilités systémiques dans le secteur du numérique et les risques pour l'indépendance de la France, à l'occasion de la conférence CIO qui s'est tenue ce mois d'avril.

La conscientisation des risques

Si ce contexte géopolitique agit comme un électrochoc et devrait théoriquement accélérer une réaction européenne en matière de souveraineté numérique, la réalité institutionnelle apparaît plus contrastée. En effet, plutôt qu'une consolidation rapide du cadre existant, on observe un remaniement de plusieurs textes récents.

La réouverture des discussions européennes autour de l'Omnibus incluant des textes clés comme le RGPD ou l'AI Act intervient, selon la députée, dans un contexte d'instabilité règlementaire. « On voit aujourd'hui des textes remis en discussion parfois seulement 18 mois après leur adoption, sans même avoir pu en mesurer pleinement les effets », souligne Cyrielle Chatelain, qui appelle à une position française plus affirmée dans les négociations. Une remarque qui met en lumière une instabilité règlementaire préoccupante qui, en modifiant trop souvent le cadre règlementaire, empêche une évaluation sérieuse de l'efficacité des textes et créé un environnement incertain pour les acteurs économiques. Une instabilité qui freine les fournisseurs européens dans la structuration d'un marché mature, faute de visibilité, affaiblissant la souveraineté numérique européenne face à des concurrents évoluant dans des cadres plus stables.

Retrouvez ici les vidéos de la conférence

L'affaire du Health Data Hub ou encore certaines décisions récentes, telle que l'affaire du juge français Guilloux, privé d'accès à un ensemble de services numériques du fait de son activité au sein de la Cour pénale internationale, ont ravivé les inquiétudes liées à l'extraterritorialité du droit américain. « Le risque de sanction est en soi un facteur de dépendance », souligne la députée, pointant aussi un déséquilibre dans le rapport de force : « les États-Unis disposent aujourd'hui d'une capacité d'investissement sans commune mesure avec l'Europe. »

Sur le terrain, les acteurs publics et privés partagent un constat lucide. « Le changement dans des systèmes IT sécurisés prend du temps. L'indépendance est illusoire pour les prochaines années, tranche Bernard Giry, DG adjoint à la transformation numérique pour la région Ile-de-France. Nous ne rattraperons pas en quelques années ce qui n'a pas été fait depuis trente ans ». Dans ce contexte, une approche pragmatique s'impose : « l'idée d'indépendance n'est pas réalisable. Pour la région Ile-de-France, on considère que si l'investissement européen dépasse 50%, on atteint déjà une certaine forme d'autonomie, du moins à travers cette majorité d'investissement », ajoute-t-il.

PublicitéMême constat du côté de la cybersécurité. « Plus de 53% de nos membres estiment que le risque de dépendance numérique est en augmentation », indique Eric Singer, RSSI et représentant du Cesin (Club des experts de la sécurité de l'information et du numérique, rassemblant plus de 1200 membres). Pour les RSSI, la dépendance ne se limite pas aux Gafam, mais s'étend sur toute la chaîne technologique. Selon Eric Singer, le principal enjeu associé à cette dépendance réside dans les risques d'indisponibilité : il faut « garantir la continuité de service », insiste-t-il.

Offre européenne insuffisante

L'expérience de Rania Baroudi, CTO de Dexia, illustre la réalité d'une dépendance subie par manque d'alternative européenne. « Nous avons fait le choix d'externaliser l'ensemble de notre système d'information pour gagner en flexibilité et réduire les coûts. » Une stratégie qui conduit progressivement à une dépendance accrue : Cognizant pour l'IT, des acteurs américains pour les opérations financières, et finalement Microsoft Azure pour des raisons d'interopérabilité. « Nous avons été poussés vers ces solutions, notamment pour des raisons de compatibilité, explique-t-elle. Sur le marché européen, il existe très peu d'offres de services managés de bout en bout. C'est le principal problème auquel les entreprises françaises sont confrontées. »

Malgré l'émergence d'acteurs comme OVHcloud ou Scaleway, l'écosystème reste immature. « L'offre européenne existe, mais elle doit encore gagner en maturité », abonde Eric Singer. Il appelle à renforcer des dispositifs comme SecNumCloud et à « encourager une préférence nationale ou européenne ». Mais au-delà de l'offre, c'est aussi la gouvernance qui est en cause. « La dépendance numérique est souvent invisible et s'installe progressivement », alerte le représentant du Cesin. D'où la nécessité de renforcer les analyses de risques et d'intégrer ces enjeux au plus haut niveau des entreprises.

Renaud Blech, le DSI et CDO de Naval Group, lors de la conférence CIO. L'industriel de défense a développé son cloud en interne faute d'offre sécurisant ses données de haute confidentialité.

Pour Naval Group, la souveraineté n'est pas un choix, mais une obligation. « Nous opérons dans un environnement extrêmement sensible », rappelle Renaud Blech, le DSI et Chief Digital Officer (CDO) de l'industriel. Faute d'offres adaptées, Naval Group a fait le choix de développer son propre cloud interne, totalement isolé d'Internet. « Actuellement, il n'y a pas de solution disponible sur le marché qui corresponde à des niveaux de classification élevés. Or, nous sommes contraints de suivre un ensemble de réglementations en matière de sécurité des données qui sont bien supérieures au SecNumCloud. De plus, les offres pour un cloud destiné à la diffusion restreinte France ou même pour de l'information classifiée sont très limitées, voire inexistantes sur le marché. C'est pourquoi nous avons décidé de le développer en interne. » ajoute-t-il. Résultat, une architecture maîtrisée de bout en bout, combinant cloud privé, open source et automatisation. « Nous utilisons certaines solutions américaines, mais toujours en local, sur nos propres réseaux », précise le DSI. Le cloud privé de Naval Group est aujourd'hui techniquement opérationnel.

Les rigidités de la commande publique

Pour les acteurs publics, les contraintes sont également structurelles. « Le code des marchés publics pousse parfois à l'inflation et n'est pas toujours respecté », déplore Bernard Giry, évoquant une hausse des coûts et une dérive des tarifs malgré le cadre des marchés publics, pourtant censé garantir des prix stables via des conditions fixées au départ. « Actuellement, nous sommes confrontés à une pénurie mondiale de composants pour les ordinateurs. Il y a deux ans, j'avais signé un contrat pour un PC à 700 euros. Or, dans ce même marché public, on me le propose désormais à 1200 euros. Bien que je comprenne que le fournisseurs ne puissent pas respecter les termes du contrat, j'ai tout de même un accord en cours. » Dans ce contexte, il plaide pour une approche plus prospective : « la précommande publique pourrait être une alternative aux subventions, notamment face à la révolution de l'IA. »

Charles-Pierre Astolfi, DSI de l'IGN.

À l'IGN (Institut national de l'information géographique et forestière), la souveraineté est une valeur historique. « La connaissance du territoire est une mission fondamentale de l'IGN », rappelle son DSI Charles-Pierre Astolfi. L'institut mise sur une maîtrise complète de sa chaîne de valeur : captation des données via ses propres avions, infrastructures internes, développement logiciel et IA. Son modèle Maestro, en open source, illustre cette stratégie d'innovation souveraine.

« Nous ne faisons pas tout nous-mêmes, mais nous conservons la maîtrise d'ouvrage et la capacité de dialogue technique », précise Charles-Pierre Astolfi. Un équilibre entre internalisation et externalisation rendu possible par des investissements massifs dans les compétences. « La DSI compte environ 200 personnes, dont une centaine de développeurs qui conçoivent les outils de production internes à l'IGN pour nous permettre de faire les prises de vue aériennes et de réaliser la cartographie pour la diffusion de nos données. Il s'agit également d'aider les ministères à élaborer leurs propres politiques publiques, telles que celles liées au photovoltaïque ou à l'aménagement du territoire. » Depuis 3 ou 4 ans, l'IGN compte également une quarantaine d'ingénieurs en IA spécialisés dans les données géospatiales.

Dans ses choix, l'IGN illustre une approche de la souveraineté qui ne se limite pas à l'utilisation des outils, mais s'étend à la maîtrise des fondations même de l'IA. En développant ses propres modèles comme Maestro et en les publiant en open source, l'institut ne se contente pas de réutiliser des fondations déjà disponibles. Mais s'inscrit dans une démarche où les modèles sont entrainés sur ses propres données et pensés pour ses usages métiers, plutôt que de dépendre de composants entrainés avec des jeux de données externes.

La facture électronique, pionnière du cloud souverain

De face, Laurent Robillard, adjoint au directeur à l'AIFE. En 2022, l'agence s'est positionnée sur OVHcloud, seul acteur répondant à l'époque aux exigences de sécurité et disponibilité de l'administration.

L'AIFE (Agence pour l'informatique financière de l'Etat) illustre les défis d'une stratégie souveraine à grande échelle. L'agence est chargée du développement et du fonctionnement de la plateforme publique de facturation (PPF), qui va gérer à terme 2,5 milliards de factures par an transmises par 10 millions d'entreprises. En 2022, l'AIFE a lancé un appel d'offres pour la création de cette plateforme, imposant le développement de la solution dans un cloud labellisé SecNumCloud et exigeant une disponibilité de 99%. Le choix s'est porté sur OVHcloud, seul acteur sur le marché capable de répondre aux exigences de sécurité et de disponibilité. « En 2022, nous étions pionniers sur le SecNumCloud », explique Laurent Robillard, adjoint au directeur en charge du pilotage des services numériques à l'AIFE.

Mais cette souveraineté a un coût : « l'offre était encore immature, sans solutions prêtes à l'emploi. Nous avons dû tout construire par nous-mêmes. » Aujourd'hui, la situation s'améliore, mais certaines limites persistent, notamment liées à la disponibilité des solutions logicielles dans des environnements souverains. Cette problématique se pose notamment pour l'application Chorus, développée autour des solutions de l'éditeur SAP et également opérée par l'AIFE. « Toutes les innovations de SAP telles que l'IA ou la data se trouvent dans le cloud. Cependant, tant que cet éditeur n'a pas de solutions SecNumCloud, nous ne pouvons pas les utiliser. Nous sommes plutôt en phase de vigilance et en pourparlers avec eux pour qu'ils puissent proposer des solutions certifiées sous peu. » L'éditeur a récemment annoncé des accords avec les cloud de confiance Bleu (détenu par Capgemini et Orange sur technologies Azure) et S3NS (Thales et Google), mais ces offres doivent encore être dument labellisées par l'Anssi.