Enjeux cyber et souveraineté numérique, la grande convergence

Publié le par Olivier Devillers , pour Localtis
Numérique, Sécurité

Au premier forum de la donnée territoriale, la convergence entre les enjeux de cybersécurité et de souveraineté numérique a été soulignée. Entre hébergement local, dépendance aux géants américains et normes cloud, les collectivités naviguent cependant encore à vue. Le gouvernement Lecornu II montre une sensibilité à ces enjeux et pourrait contribuer à une approche transversale. 

1er Forum de la donnée territoriale

© O.Devillers/ Philippe Latombe, Jean-Pierre Sabio, Vincent Coudrin et Mai-Linh Camus

Les cyberattaques ne datent pas d'hier mais ces dernières années ont été marquées par un nouveau phénomène : le vol de données, constaté dans 24% des cyberattaques affectant des administrations selon les chiffres de Cybermalveillance. Si la protection des données est une obligation légale – imposée par le RGPD et la directive NIS2 – son importance s'est encore renforcée sous l'effet des tensions géopolitiques actuelles. Cette convergence des enjeux (juridiques, techniques et stratégiques) était au cœur des échanges du dernier forum de la donnée territoriale, soulignant l'urgence d'une approche transverse de ces dossiers.

La donnée, une ressource à préserver

La première étape pour sécuriser les données des administrations serait cependant d'ordre culturel. "Il est crucial de considérer la donnée comme une ressource et d'identifier la donnée stratégique au sein de la structure - celle qui servirait l'intérêt d'une partie adverse - de savoir précisément où elle est localisée et qui y a accès", estime la consultante en intelligence économique Mai-Linh Camus. Elle rappelle au passage que l'article 20 de la directive NIS2 rend obligatoire la formation des directions des entités essentielles et importantes afin qu'elles puissent identifier les risques et leurs impacts sur les services fournis.

Privilégier l'hébergement de proximité ?

Protéger les données passe ensuite par des choix d'architecture et d'infrastructure. Du côté de la FNCCR, on pousse à la création de centres de données de proximité mutualisés, pour se doter des compétences nécessaires et répondre simultanément aux enjeux de sécurité, de confiance et de souveraineté. Des objectifs au cœur du projet ligérien Gigalis porté par la région Pays de la Loire, les métropoles de Nantes et d'Angers, les départements de Loire-Atlantique et du Maine-et-Loire. "Notre infrastructure est ouverte aux PME comme aux petites communes, avec une offre 'tout en un' à coût maîtrisé", fait valoir Jean-Pierre Sabio, directeur général de Gigalis. Cet acteur public présente un autre avantage : "il n'a pas le risque d'être racheté" contrairement aux acteurs privés de l'hébergement.

Des redondances indispensables

La localisation en France des serveurs ne saurait cependant suffire à garantir la sécurité des données. Une collectivité a opportunément rappelé les conséquences du terrible incendie de 2021 à Strasbourg sur une partie des installations d'OVH. Ce sinistre a réduit définitivement au silence des milliers de sites internet, les données, hébergées via une offre à bas coût de l'opérateur tricolore n'ayant pas fait l'objet d'une sauvegarde sur un autre site géographique. Depuis lors, l'hébergeur a introduit des redondances pour éviter que cet épisode ne se renouvelle.

Dépendances logicielles

La sécurité/souveraineté doit enfin s'apprécier à l'aune des logiciels utilisés sur les serveurs, où qu'ils se trouvent. Or la sénatrice Catherine Morin-Desailly ne peut que déplorer notre "dépendance technique et juridique vis-à-vis des solutions extra-européennes", exhortant les pouvoirs publics à "gagner en autonomie stratégique".  En ligne de mire, la dépendance aux géants américains du numérique soumis au "cloud act". Ceux-ci trustent 80% des logiciels des grandes organisations selon le Cigref et plus des deux tiers du marché de l'informatique en nuage selon l'Arcep.

Faire émerger des acteurs de taille critique avec des offres répondant aux plus hauts standards de sécurité est au cœur de la stratégie "cloud au centre" de l'État. "Il s'agit d'immuniser l'État des lois extraterritoriales tout en favorisant, grâce à la commande publique, des acteurs européens", explique Vincent Coudrin, de la Direction interministérielle du numérique (Dinum) . En pratique, elle repose sur deux piliers, la création d'une "suite numérique" en ligne pour proposer aux administrations des alternatives aux logiciels bureautiques extra-européens et la norme SecNumCloud de l'Anssi. Selon l'expert, celle-ci offre "un niveau de sécurité équivalent à ce que l'État détenait dans ses propres centres de données".

Une offre SecNumCloud critiquée

L'offre labellisée SecNumCloud, encore limitée, ne répondrait cependant qu'imparfaitement aux besoins. Au syndicat des eaux d'Ile-de-France, on s'estime pris "entre plusieurs feux," avec d'un côté l'injonction à la souveraineté et de l'autre "la nécessité d'avoir des outils puissants et scalables, capables de faire du calcul rapide et de gérer des données massives". Un enjeu aujourd'hui renforcé par l'intelligence artificielle qui exige des datacenters surpuissants au profil bien éloigné des datacenters de proximité. 

Les collectivités s'interrogent par ailleurs sur des solutions comme S3NS (Thales-Google) ou Bleu (Orange, Capgemini et Microsoft) deux consortiums qui promettent un hébergement en France mais où la présence de géants américains pourrait être assimilée au loup dans la bergerie. Or ces deux entités ont sollicité la qualification SecNumCloud, sans l'avoir obtenue… pour le moment. Les hyperscallers américains n'ont cependant peut-être pas dit leur dernier mot. La norme EUCS (European union cybersecurity certification scheme) promise à remplacer les normes cloud nationales est en effet toujours en discussion. Or il s'avère que la France n'a pas obtenu la reprise des règles SecNumCloud, une partie des pays européens jugeant les critères de souveraineté trop restrictifs et nuisibles à l'innovation.

› Un gouvernement sensible à ces enjeux

Le gouvernement Lecornu II devrait se montrer sensible aux enjeux de cybersécurité et de souveraineté numérique. Au-delà de l'économie, Roland Lescure hérite en effet d'un portefeuille intégrant la "souveraineté numérique", qui s'ajoute à la souveraineté énergétique et industrielle présente dans Lecornu I.
Il est surtout épaulé d'Anne Le Hénanff, ministre déléguée chargée de l'intelligence artificielle et du numérique. Le rattachement à Bercy, et non à la Fonction publique comme sa furtive prédécesseur Naïma Moutchou a aussi de quoi rassurer sur le volet Télécom. Dans un communiqué daté du 14 octobre 2025, l'Avicca accueille avec "un réel soulagement l'extension du domaine d'action de la nouvelle ministre Anne Le Hénanff, qui traitera de l'ensemble des sujets numériques, usages et services comme réseaux".
Cette ex députée du Morbihan et maire adjoint de Vannes, a suivi de nombreux dossiers numériques. À l'Assemblée nationale, Anne Le Hénanff a été rapporteure pour avis de la loi de programmation militaire sur la partie cyber et a suivi la transposition de la directive européenne NIS2. Elle est aussi vice-présidente de la commission du numérique et des postes (CNSP), signataire de plusieurs avis ayant porté la voix des collectivités. Elle a enfin siégé au conseil d'administration de la FNCCR.  

 

Voir aussi

    Abonnez-vous à Localtis !

    Recevez le détail de notre édition quotidienne ou notre synthèse hebdomadaire sur l’actualité des politiques publiques. Merci de confirmer votre abonnement dans le mail que vous recevrez suite à votre inscription.

    Découvrir Localtis

    Back to Top of the Page