La cyber européenne cherche sa souveraineté… sans se mentir 

La souveraineté numérique n’a rien d’un débat de principe quand elle se traduit en lignes budgétaires et en risques opérationnels. Dès l’ouverture de la rencontre Cyber IA Expo, le décor est planté : “Si plus de 80% des dépendances européennes étaient grignotées ne serait-ce que de 5%, le “surplus de marché” atteindrait près de 10 milliards”. Le chiffre est séduisant, mais il cache le nœud du problème. Réallouer 5% d’achats suppose des alternatives crédibles, une capacité d’intégration et, surtout, un appétit au risque que peu d’organisations assument. D’autant plus en cybersécurité, un domaine qui souffre déjà de contraintes de coûts, de talents et de conformité. Sur scène, personne n’a vendu une fable de relocalisation totale. Tous ont décrit une trajectoire de réduction des dépenses, par strate, avec des arbitrages douloureux. “Il faut être pragmatique, les briques critiques, là il va falloir avoir un vrai contrôle”, a rappelé Zeina Zakhour, vice-président, Global CTO Eviden & Cybersecurity du groupe Atos. Derrière les slogans, l’écosystème européen se heurte à une réalité simple, la dépendance n’est pas un état, c’est une chaîne. Et une chaîne se casse rarement au maillon le plus visible, elle cède là où la vitesse d’innovation et l’effet d’échelle font la loi. 

Le “kill switch” comme test du cloud de confiance 

La discussion a basculé là où le marché se crispe vraiment, la capacité à continuer à opérer si les règles du jeu se durcissent. “Quelle est la survivabilité en cas de kill switch ?”, a rapporté Hélène Bringer, directrice générale de Thales Services Numériques et présidente de S3NS, en décrivant les questions des clients. Sa réponse a été à la fois politique et technique, donc inconfortable. “S3NS ne promet pas l’indépendance technologique”, a-t-elle corrigé, “on promet la confiance”. Tout est dans le déplacement sémantique. L’indépendance, en cloud, est devenue une promesse intenable à court terme. La confiance, elle, se travaille, s’audite et se contractualise. Mais la confiance n’efface pas la dépendance au socle technologique ni au rythme des mises à jour, surtout quand l’innovation IA est tirée par les hyperscalers. “On ne maîtrise pas toutes les briques, mais on analyse les mises à jour, on vérifie les backdoors” a-t-elle soutenu. D’après la présidente de S3NS, l’open source offrirait aussi un premier niveau de survivabilité. Un mot à ne pas sous-estimer, garant non pas d’une promesse de continuité magique, mais de la capacité à dégrader sans s’effondrer. S3NS assume un compromis industriel en cherchant à déplacer le centre de gravité vers l’exploitation, la gouvernance et la maîtrise des opérations, plutôt que de prétendre réinventer l’empilement complet. 

Réversibilité plutôt qu’autarcie 

Une souveraineté utile n’est pas celle qui exclut, c’est celle qui rend possible un basculement. "Ce n’est pas tout faire seul, ce n’est pas l’autarcie”, a expliqué Zeina Zakhour, vice-président, Global CTO Eviden & Cybersecurity, Atos Group. Elle a exposé le critère qui change tout : “pouvoir obtenir cette réversibilité”. La conférence a touché un point rarement traité frontalement. La plupart des stratégies “souveraines” échouent, non par manque de volonté, mais parce qu’elles ne prévoient ni trajectoire de migration, ni plan de continuité, ni gouvernance de la dépendance. Pour Zeina Zakhour le marché a basculé : “Ces derniers 18 mois, chaque discussion avec les clients aborde la question. Qu’est-ce que ça veut dire être souverain ? Où est mon risque souverain”. Le signal marché fait écho à la période, traversée par les tensions géopolitiques, la hausse des coûts logiciels ou encore les régulations en cascade. Reste un paradoxe européen, la maturité du diagnostic progresse plus vite que la capacité collective à industrialiser les réponses. Faute de capital, de consolidation et de standards réellement partagés, le continent, classé deuxième en production scientifique, risque de cantonner la souveraineté au simple concept.  

La cyber “par le réseau” utile, mais insuffisante 

Quand l’Europe possède encore des actifs structurants, elle peut regagner du contrôle, parfois très vite. “On est présent dans 12 pays en Europe et Orange Cyberdefense regroupe à peu près 4000 experts”, a rappelé Frédéric Zink, directeur général Orange Cyberdefense France. Son angle est clair, s’appuyer sur l’infrastructure d’opérateur pour produire une “threat intelligence (ou renseignement sur les menaces) propres et profondément souverains”. Une réponse pragmatique à la pénurie d’analystes et à l’explosion des alertes. Déplacer le filtrage et le blocage au niveau de l’infrastructure réduit mécaniquement les faux positifs et la facture SOC (centre opérationnel de sécurité). Cette logique n’efface pourtant pas les dépendances. Frédéric Zink a notamment évoqué des “partenariats technologiques avec des Américains et des Israéliens”. Mais l’approche protège ce que l’on voit passer dans le réseau, pas ce qui s’exécute dans les couches applicatives, les chaînes CI/CD (intégration continue), ou les dépendances logicielles. Autrement dit, elle renforce une souveraineté d’exploitation, sans résoudre l’asymétrie de puissance sur les plateformes et les outils, principalement américains et, de plus en plus, verrouillés économiquement. 

30% européen, sinon rien 

Le point le plus opérationnel de la table ronde n’a pas été un discours, mais une règle d’achat. “Sopra Steria a choisi d’imposer 30% de solutions européennes dans ses réponses et architectures”, a indiqué Fabien Lecoq, CEO Business Line CyberSecurity Groupe, Sopra Steria. Il a notamment défendu une logique de pré-équipement. Le raisonnement est brutal mais réaliste, si une alternative n’est pas déjà déployée, aucune grande organisation ne “pivote” en urgence sans coûts massifs, délais et risques. Ce choix ressemble moins à un patriotisme économique qu’à une police d’assurance contre trois menaces très concrètes : la coupure, la contrainte réglementaire extraterritoriale, et la hausse tarifaire. L’écosystème, lui, reste fragile. Frédéric Zink a averti que la souveraineté pouvait complètement disparaître, en moins d’un an, après un rachat. Ce qui renvoie au vrai impensé européen : la protection du passage à l’échelle. Sans financement et consolidation, la demande créée nourrit parfois, malgré elle, une prochaine acquisition extra-européenne. À Cyber IA Expo, les intervenants n’ont pas cherché à “rendre l’Europe indépendante” d’un coup de baguette. Ils ont plutôt dessiné une doctrine pour réduire les dépendances là où elles sont létales, documenter la réversibilité, et acheter européen assez tôt pour que l’offre survive… sans se faire absorber en chemin.