Souveraineté numérique : mesurer les dépendances pour inciter à passer à l'action
En matière de souveraineté numérique, l'État a décidé de passer à la vitesse supérieure. Défense, CNRS, fonction publique, l'abandon de solutions des Gafam s'accélère. Parallèlement, le pilotage se renforce avec le lancement d'un indice de résilience numérique et d'un questionnaire pour cartographier les dépendances. Une orientation qui fait consensus mais n'éteint pas totalement les critiques.
© Captures vidéo @Economie_Gouv/ Olivier Sichel, David Djaiz et Dany Wattebled
Passer de la parole aux actes. Alors que les tensions géopolitiques s'aggravent, le cap de la souveraineté numérique s'impose comme une priorité pour le gouvernement. Avec des décisions très concrètes : le CNRS va désormais utiliser l'outil Visio et non plus Zoom ou Teams, préfigurant sa "généralisation" à l'ensemble de la fonction publique "d'ici 2027" a annoncé son ministre de tutelle David Amiel. Le ministère de la Défense va pour sa part renoncer à Microsoft et adopter la Suite numérique de l'État.
Aider à la prise de décision
Si l'exemplarité de l'État est nécessaire, l'adoption massive de solutions numériques européennes reste encore balbutiante à l'heure où le Cigref évalue à 265 milliards d’euros les dépenses numériques qui profitent aux géants du numérique américains, soit une dépendance évaluée à 80%. Une estimation à la louche que le gouvernement veut affiner. C'est dans cette optique qu'a été lancé à Bercy le 26 janvier 2026 un "indice de résilience numérique (IRM)".
Une "boussole" voulue par Anne Le Hénanff, ministre déléguée au Numérique, destinée à accélérer la prise de conscience des dépendances technologiques et à favoriser les arbitrages favorables aux solutions souveraines. Car "longtemps, ces sujets ont été réservés aux DSI. C'est désormais un sujet de direction générale", insiste Olivier Sichel directeur général du groupe Caisse des Dépôts et président d'honneur de l'aDRI, association créée pour piloter l'IRM et, bientôt, labelliser les organisations souhaitant valoriser leur démarche d'autonomisation stratégique.
Un thermomètre métier à huit dimensions
Concrètement, l'indice évalue la résilience selon 20 critères répartis en huit dimensions. Trois grands blocs structurent la grille : stratégique (exposition aux lois extraterritoriales, contractualisation), sécuritaire (cyber, continuité, climat), et technologique (explicabilité des solutions, absence de "boîtes noires").
Avec une "approche métiers qui en fait toute la singularité", souligne David Djaïz, CEO d'Ascend partners l'un de ses concepteurs. Une collectivité pourra par exemple identifier ses "métiers et fonctions vitales" – état civil, gestion des écoles, services sociaux… – et évaluer l'ensemble du "système critique" associé : logiciels, hébergement, compétences. La notation est graduelle : zéro point pour l'absence de preuve de résilience. Un point si la démarche est documentée. Trois points pour les moyens déployés. Cinq points en cas de résultat prouvé. Maximum : 100 points. Au-delà d'un seuil, le système sera labellisé "résilient".
On notera que l'IRN s'articule avec l'initiative Tie Break (notre article du 10 avril 2026) – autoévaluation des dépendances numériques testée notamment à Montpellier - portée par les Interconnectés. L'IRN pourra notamment être mobilisé par les collectivités pour s'auto-évaluer sur les obligations de protection des données et des systèmes imposés par la directive NIS2.
Parallèlement, à l'IRN – qui repose sur une auto-évaluation –, l'Observatoire des dépendances numériques devrait produire des chiffres nationaux d'ici avril. Clément Beaune, président du Haut-commissariat à la Stratégie et au Plan a annoncé le lancement imminent d'un questionnaire pour "cartographier précisément le degré de dépendance et identifier les solutions alternatives françaises ou européennes".
Les contradictions de l'État pointées du doigt
Si l'urgence à agir fait consensus, plusieurs voix se sont élevées pour pointer les incohérences de l'État sur ce dossier. Le sénateur Dany Wattebled, a dénoncé "600 millions de commandes publiques" fléchées vers les Gafam, se scandalisant notamment du choix de Microsoft par l'Éducation nationale. Il a appelé à publier les décrets de la loi Sren imposant aux opérateurs de services vitaux le recours à un cloud sécurisé. Il a aussi demandé de soutenir la proposition de loi qu'il a cosignée sur la sécurisation des marchés publics numériques. Votée à l'unanimité au Sénat en décembre, elle vise à imposer que "tous les achats publics soient prémunis des lois extraterritoriales" en optant pour des solutions SecNumCloud. La France ne peut cependant interdire formellement les solutions étrangères dans le cadre européen actuel. Une situation que Anne Le Hénanff a affirmé vouloir changer, en s'alliant à l'Allemagne pour défendre la cause à Bruxelles. Sachant que la France n'a pas réussi à intégrer SecNumCloud dans la norme cloud européenne EUCS.
Le choix de la Dinum de développer ses propres outils fait par ailleurs l'objet de vives critiques. "La suite territoriale" développée par l'ANCT pour les collectivités a été qualifiée "d'hérésie", plusieurs représentants de la filière numérique dénonçant "une nouvelle concurrence" due à une administration prétendant vouloir "vivre en autarcie numérique". Stéphanie Schaer, directrice de la Dinum, a défendu une "approche partenariale", la direction s'appuyant sur des sociétés françaises pour développer ses outils, tels que Mistral pour l'assistant IA ou Outscale, labellisé SecNumCloud, pour Visio. Elle a cependant reconnu qu'une "clarification" sur la commande publique numérique était nécessaire. Une circulaire est attendue sur ce sujet et un recensement des solutions souveraines est en cours.
