Souveraineté numérique européenne l'angle mort de la couche réseau et cyber.
La souveraineté numérique ne se joue pas qu'au niveau du cloud et des données. Elle se joue aussi, et de façon largement ignorée, sur la couche réseau et cybersécurité, là où la dépendance est la plus forte et la moins discutée, en particulier dans l'industrie et les environnements critiques.
Où la souveraineté pèse vraiment, couche par couche
Le débat sur la souveraineté numérique se concentre sur le cloud et les données. C'est légitime, mais partiel. Pour un site industriel ou critique, la dépendance la plus structurante se situe plus bas dans la pile : sur les équipements réseau et sur les outils de cybersécurité qui contrôlent les accès.
Couche par couche, le degré de souveraineté européenne réel varie fortement. Le cloud progresse, avec la qualification SecNumCloud de l'ANSSI et le RGPD, même si les hyperscalers américains restent dominants et exposés au Cloud Act. Les postes, systèmes d'exploitation et logiciels bureautiques demeurent très majoritairement américains.
Plus on descend vers le réseau et la cybersécurité, plus la souveraineté s'amenuise. C'est précisément la couche qui protège les environnements OT et critiques.
| Couche | Souveraineté UE | Acteurs dominants |
|---|---|---|
| Cloud / données | Partielle | Hyperscalers US (AWS, Microsoft, Google) ; SecNumCloud émerge |
| Postes, OS, logiciels | Faible | Microsoft, Apple, Google (US) |
| Réseau (équipements) | Faible | Cisco, Juniper (US), Huawei (CN) ; peu d'acteurs UE à l'échelle |
| Cybersécurité (pare-feu, ZTNA, EDR, SASE) | Faible | Palo Alto, Fortinet, Cisco, Zscaler, CrowdStrike (US), Check Point (IL) |
| OT / industriel | Faible | Automatismes : Siemens (DE), Schneider (FR) ; mais réseau et cyber non souverains |
Le marché de la cybersécurité réseau, pare-feu, ZTNA, EDR et SASE, est largement dominé par des éditeurs américains, comme Palo Alto Networks, Fortinet, Cisco, Zscaler et CrowdStrike, et israéliens, comme Check Point. Les acteurs européens existent mais restent minoritaires, et plusieurs références ont été absorbées par des capitaux non européens : les britanniques Sophos et Darktrace sont passées sous le contrôle du fonds d'investissement américain Thoma Bravo.
Là où une stack non souveraine pose un problème spécifique
Défense & BITD
Accès distant éditeur, télémétrie sortante et dépendance aux mises à jour sont des risques directs pour la base industrielle et technologique de défense, où l'exposition extraterritoriale (Cloud Act) n'est pas acceptable. La cybersécurité défense impose une maîtrise complète de ces flux.
Énergie & eau
Pour les OIV, OSE et entités NIS2, la supervision et le contrôle d'accès des réseaux OT ne devraient pas dépendre d'un éditeur ou d'un cloud hors UE, sous peine d'exposer des infrastructures vitales.
Industrie sensible & sites classés
Sur un site sensible, chaque flux de télémétrie sortant et chaque canal de maintenance distant d'un éditeur étranger élargit la surface d'exposition et échappe au contrôle de l'exploitant.
La couche réseau et cyber, maillon souverain le plus négligé
Le maillon souverain le plus négligé n'est pas le cloud, c'est la couche réseau et cyber. Le débat public et réglementaire s'est concentré sur l'hébergement des données ; or l'accès, la segmentation et la supervision réseau sont au cœur de la sécurité des sites critiques.
C'est là que la dépendance est la plus forte et la moins discutée. Un pare-feu, une solution de contrôle d'accès ou un agent EDR non souverain voit le trafic, applique les politiques et reçoit ses mises à jour depuis l'extérieur. Sur un site critique, cela revient à confier les clés de la maison à un tiers extra-européen.
L'ANSSI et l'ENISA placent le cloisonnement, le contrôle des accès et la maîtrise de la chaîne d'approvisionnement au cœur de la sécurité des systèmes industriels. C'est exactement la couche où l'Europe est la moins souveraine.
Reprendre le contrôle de l'accès et de la supervision, on-premise
Ce constat ouvre une opportunité concrète : une approche souveraine, on-premise et sans agent, qui redonne à l'exploitant le contrôle de l'accès et de la supervision réseau, sans dépendre d'un cloud ni d'un éditeur extra-européen. C'est l'approche d'Access Gate, conçu par Trout Software, société française, pour protéger les environnements OT et critiques.
Quatre piliers, entièrement sur site
Authentification
L'identité de chaque utilisateur et de chaque système est établie avant tout accès, sur site.
Contrôle
Le moindre privilège est appliqué par des règles explicites entre zones ; tout flux non prévu est refusé.
Proxy
Les sessions passent par un proxy qui applique la politique au plus près de la ressource, sans agent.
Audit
Chaque session est journalisée pour une traçabilité à intégrité prouvée, exploitable en audit.
La souveraineté se gagnera aussi sur le réseau et le cyber
La souveraineté numérique, et plus largement la souveraineté technologique, ne se gagnera pas seulement sur le cloud et les données. Elle se gagnera aussi, et peut-être surtout, sur la couche réseau et cybersécurité, là où s'exerce le contrôle réel des infrastructures critiques.
C'est l'angle mort qu'il reste à traiter. Les briques existent pour le faire de façon souveraine, on-premise et sans dépendance extra-européenne ; encore faut-il porter le sujet là où il se joue vraiment.
Souveraineté numérique : l'essentiel.
Réseau, cybersécurité et OT : la couche la moins souveraine, la plus critique
La souveraineté numérique européenne désigne la capacité de l'Europe à maîtriser ses technologies, ses données et ses infrastructures numériques sans dépendance critique à des acteurs extra-européens. Elle est souvent réduite au cloud et aux données, mais elle concerne aussi, et de façon plus aiguë, la couche réseau et cybersécurité qui protège les sites industriels et critiques.
La France a posé des jalons avec la qualification SecNumCloud de l'ANSSI, le RGPD et la transposition en cours de NIS2. La dépendance reste cependant forte sur les postes, le réseau et la cybersécurité, dominés par des éditeurs américains et israéliens. La couche réseau et cyber est le terrain où la souveraineté française et européenne est la moins avancée.
Une technologie souveraine est conçue, maîtrisée et opérable sans dépendance critique à une puissance étrangère : pas de télémétrie sortante imposée, pas d'accès distant éditeur incontrôlable, pas d'exposition extraterritoriale, et un déploiement possible on-premise, sous le contrôle de l'exploitant.
Oui. Le Cloud Act permet aux autorités américaines de demander à un fournisseur soumis au droit américain l'accès à des données qu'il détient ou traite, y compris hors des États-Unis. Pour une infrastructure critique européenne, recourir à un éditeur ou un cloud soumis à ce cadre crée une exposition extraterritoriale, indépendamment de la localisation des serveurs.
Oui, à condition de reprendre le contrôle de l'accès et de la supervision sans dépendre d'un cloud ni d'un éditeur extra-européen. Une approche on-premise, sans agent, déployée à côté du réseau existant, permet d'appliquer le contrôle d'accès, la segmentation et l'audit localement, sous la maîtrise de l'exploitant.