Introduction : La souveraineté numérique, ce mythe républicain 2.0
Bienvenue dans l’Hexagone, ce pays formidable qui rêve d’indépendance numérique mais continue de stocker ses données critiques chez Amazon. En France, on parle beaucoup de « Cloud Souverain », un peu comme on parlait du Minitel à l’époque : avec nostalgie, orgueil… et un peu de naïveté. L’objectif officiel ? Garder nos données bien au chaud, sous le drapeau tricolore. La réalité ? Nos données sont souvent à portée de Cloud Act.
Chez SecuSlice, on a déjà parlé de shadow IT, d’Active Directory mal ficelé, et de ransomware dans les hôpitaux… mais là, on va parler d’un autre fléau : le syndrome de Stockholm numérique. Spoiler : les geôliers s’appellent Microsoft, Amazon et Google.
1. Le fantasme du cloud souverain : une histoire de vœux pieux
🪙🛫 – Beaucoup d’argent, peu de nuages tricolores
Entre Andromède, Cloudwatt et Numergy, c’est pas un feuilleton techno, c’est un soap opéra avec un budget à la Netflix… pour un résultat digne d’un téléfilm FR3.
À chaque scandale de surveillance, chaque fuite de données sensibles, chaque attaque contre des hôpitaux, l’État sort sa baguette magique : « Nous allons développer une solution souveraine ! ». Il y a eu Andromède, cet ovni lancé en 2009 avec Orange, Thales et Dassault Systèmes. Un gouffre financier. Un fiasco industriel. Résultat ? Dassault s’est barré. Orange a fini par bosser avec Microsoft. La souveraineté made in France a fondu plus vite qu’un glacier sous Azure.
Puis sont venus Numergy et Cloudwatt. Des milliards d’euros, des effets d’annonce dignes d’un blockbuster Marvel, et à la fin : liquidation judiciaire ou intégration silencieuse dans les GAFAM-friendly. Ce n’est plus du cloud souverain, c’est du cloud suzerain.
2. Le Cloud Act et la servitude volontaire
🇺🇸🔍 – Quand la souveraineté passe par Washington
Le Cloud Act, c’est un peu comme une alarme incendie branchée chez l’espion : même à distance, l’Oncle Sam entend tout.
On en parle assez peu, mais le Cloud Act américain, adopté en 2018, permet aux autorités US d’exiger l’accès aux données stockées n’importe où dans le monde, tant qu’elles sont hébergées par une entreprise américaine. En clair : si tu fous tes données critiques chez Microsoft, Amazon ou Google, ne sois pas surpris si la NSA les lit avant toi.
Et pourtant… qui équipe la majorité des ministères, des hôpitaux, des collectivités locales ? Microsoft. Qui fournit les infrastructures cloud de choix pour les projets publics ? Amazon Web Services. La gendarmerie nationale a beau avoir basculé sur Linux, le reste de l’administration reste prisonnier de Teams et SharePoint.
3. Pourquoi c’est si compliqué ?
💸🧠 – Pas de fric, pas de talents, pas de miracle
Créer un cloud souverain ? Il faut des milliards, des cerveaux, une vision… et surtout pas un appel d’offres mal ficelé de 400 pages.
a) L’argent (ou l’absence de)
Créer un cloud souverain, ce n’est pas juste empiler des serveurs dans une cave chez OVH. C’est des milliards d’euros d’investissement, une R&D de haut vol, une scalabilité digne d’un Google Cloud. Sauf que :
- Les subventions sont éparpillées façon puzzle,
- Les marchés publics favorisent toujours les moins chers (et donc les Américains),
- L’État français exige du souverain, mais avec les prix de la Silicon Valley en moins.
Résultat ? Des initiatives tricolores étouffées dans l’œuf, ou réduites à l’état de “label”.
b) Les compétences
On a des ingénieurs brillants. Mais combien veulent bosser sur un cloud à la française sous-payé, bureaucratique, quand ils peuvent aller se faire chasser chez Amazon avec stock options et baby-foot illimité ? Le brain drain est réel. Et tant que nos DSI publics préféreront payer 4 consultants PowerPoint plutôt qu’un DevOps compétent, ça ne changera pas.
4. Bleu, blanc, flou : le faux cloud souverain labellisé SecNumCloud
☁️🎭 – Label français, backend américain
« Projet Bleu », ou comment habiller un cheval de Troie avec un drapeau tricolore. Bravo les artistes.
Petit bijou de l’hypocrisie : le label SecNumCloud, censé garantir un hébergement 100 % souverain, sur territoire français, hors influence extraterritoriale. Sur le papier, c’est très joli. Dans la réalité, les plus gros acteurs labellisés sont… Microsoft via un partenariat avec Orange et Capgemini, sous le nom de « Bleu ».
Alors, Microsoft France, hébergeant sur des serveurs Microsoft, opérés par des Français, mais dont le code reste made in Redmond… C’est souverain ça ? Pour l’ANSSI, peut-être. Pour la NSA, c’est open bar.
On appelle ça le cloud de confiance. Nous, à SecuSlice, on appelle ça un cheval de Troie sur facture publique.
5. Des exemples croustillants d’ingérence acceptée
🍿🤡 – Petit best-of de l’absurdité en action
Entre Santé.fr chez Microsoft et Thales qui cloud chez Azure… on se demande si les décideurs lisent leurs propres rapports.
- Thales (leader de la cybersécurité) utilise Azure pour certains projets sensibles.
- La Défense a expérimenté Office 365, avant de faire (un peu) machine arrière.
- Santé.fr, le site officiel pour la santé publique, est hébergé… chez Microsoft.
Ironie ? Cynisme ? Non, juste stratégie industrielle à la française : confier ses données à l’ennemi tout en organisant des colloques sur la souveraineté numérique.
6. Microsoft & Amazon : les deux géants qui se partagent le gâteau républicain
🧁🦍 – Duopole, addiction et dépendance stratégique
Ils contrôlent les outils, les infrastructures, et même les esprits. Et nous, on dit merci en leur confiant les plans du bunker.
La double peine :
- Ces deux géants contrôlent les infrastructures (serveurs, IA, scalabilité).
- Ils sont devenus incontournables dans l’écosystème logiciel : AD, Azure AD, Exchange, Teams, Outlook, AWS EC2, S3…
Même les prestataires “souverains” doivent composer avec eux. C’est comme vouloir faire un gâteau bio mais acheter la farine chez Monsanto.
7. Le coup de grâce : l’illusion stratégique
🎩✨ – Le grand tour de passe-passe républicain
Entre OVH ignoré et Scaleway relégué, on préfère se faire coloniser gentiment par Teams, car “c’est plus simple”.
Alors qu’on pourrait soutenir des acteurs comme OVHcloud, 3DS Outscale, Scaleway, ou même Jamespot côté applicatif, la majorité des appels d’offres publics restent formatés pour les solutions GAFAM. Pourquoi ? Car elles sont “interopérables”, “fiables”, “déjà utilisées”.
Autrement dit, l’effet de verrouillage est total. Et même quand on veut changer, on se rend compte que les services publics sont déjà trop imbriqués.
Conclusion : « En même temps », la doctrine du cloud français
🤹♂️📉 – Entre volonté affichée et renoncement assumé
La souveraineté numérique, c’est comme un NFT de Marianne : joli sur le papier, inutile dans la vraie vie.
Entre les déclarations de souveraineté et les déploiements Teams dans les ministères, il y a le grand écart numérique. Ce n’est pas un manque de volonté, c’est un manque de stratégie, de courage politique, de moyens, et surtout… d’indépendance intellectuelle.
Le cloud souverain à la française, c’est un peu comme les menus végétariens à la cantine : ça rassure tout le monde… tant qu’on ne regarde pas les ingrédients.
