SecNumCloud, S3NS et la peur américaine : le débat sur la souveraineté numérique se trompe de cible

Le numérique, arme économique américaine assumée

Car le problème posé par S3NS n’est ni nouveau, ni isolé, ni même spécifiquement français. Il s’inscrit dans un cadre stratégique construit depuis plusieurs années, sur fond de rapport de force assumé entre les États-Unis et l’Europe, dans lequel le numérique occupe une place centrale.

Il faut d’abord rappeler un fait simple : le numérique est aujourd’hui un pilier de la puissance américaine. Il représente près de 10 % du PIB des États-Unis, et il est un levier clé de leur politique industrielle et commerciale.

Dans un contexte marqué par le retour d’une logique de guerre économique – illustrée par la stratégie de pression commerciale assumée sous l’administration de Donald Trump –, il serait naïf de croire que les États-Unis feront preuve de mansuétude à l’égard de l’Europe sur ces sujets.

Cette réalité alimente une angoisse légitime : peut-on accepter de dépendre de technologies soumises au droit américain, alors même que les relations transatlantiques se durcissent ? Mais cette angoisse, aussi fondée soit-elle, ne constitue pas une stratégie.

Revenir aux faits : ce que disait déjà la France en 2021

Contrairement à ce que suggèrent certaines critiques, la qualification de S3NS ne surgit pas dans un vide doctrinal.

Dès juillet 2021, la circulaire dite « Cloud au centre » faisait du cloud le mode d’hébergement par défaut des nouveaux services numériques de l’État, tout en réservant les données sensibles à des solutions qualifiées SecNumCloud. Cette doctrine reposait sur un principe clair : le cloud est un accélérateur de transformation, à condition d’en maîtriser les risques juridiques et opérationnels.

Quelques mois plus tard, en septembre 2021, la DINUM publiait une circulaire distincte interdisant l’usage des suites collaboratives cloud grand public (Microsoft 365, Google Workspace) dans les administrations. Cette décision était indépendante de la doctrine « Cloud au centre », mais elle poursuivait un objectif complémentaire : réduire l’exposition aux lois extraterritoriales et les dépendances structurelles.

Ces choix n’étaient ni improvisés ni idéologiques. Ils répondaient à des alertes juridiques documentées.

CLOUD Act, FISA : le vrai sujet est juridique, pas symbolique

Le débat public se focalise presque exclusivement sur le CLOUD Act. C’est une erreur.

Le CLOUD Act est un cadre procédural, visible, documenté, assorti de mécanismes de contestation et de transparence. Or le FISA (Foreign Intelligence Surveillance Act) est autrement plus problématique. Il relève du champ du renseignement, repose sur des obligations de coopération secrètes, et peut s’imposer à des entités soumises à la juridiction américaine, y compris lorsque les données sont hébergées hors des États-Unis.

C’est précisément ce point qu’a analysé, dès 2022, le National Cyber Security Centre néerlandais, dans une étude juridique approfondie. Sa conclusion est nuancée, mais claire : le risque d’extraterritorialité n’est ni automatique ni nul. Il dépend étroitement de la structure capitalistique, des droits de contrôle, et de l’autonomie opérationnelle réelle de l’entité exploitant le service.

Autrement dit, tout se joue dans le montage juridique et opérationnel, pas dans l’origine technologique des briques utilisées.

SecNumCloud : une réponse de sécurité et de résilience, pas une promesse de souveraineté

C’est ici que le débat se brouille. SecNumCloud n’a jamais prétendu garantir la souveraineté numérique absolue.

Comme l’a rappelé à plusieurs reprises Vincent Strubel (directeur général de l’ANSSI), il s’agit avant tout d’une qualification de sécurité, qui vise à élever le niveau de protection, de contrôle et de gouvernance des services cloud les plus sensibles.

Imène Kabouya, Wavesoft

SecNumCloud apporte une réponse structurante : exigences fortes en matière de contrôle des accès, cloisonnement, auditabilité, encadrement contractuel, capacité de sortie. Mais croire que la résilience numérique se résume à l’obtention d’un label serait une erreur stratégique majeure.

La résilience repose d’abord sur la conception d’architectures réellement réversibles, quel que soit le socle technologique retenu. C’est précisément ce point qui cristallise le débat autour de Bleu et de S3NS.

Les critiques mêlent souvent deux risques distincts : d’un côté, le risque de captation de données ou de propriété intellectuelle via le FISA – largement couvert par les montages juridiques et les exigences SecNumCloud ; de l’autre, le risque d’une coupure du robinet numérique ou autrement appelé « Kill swith », à travers l’arrêt de la fourniture de patchs, de mises à jour ou de nouvelles releases, dans un contexte de tensions géopolitiques accrues. Ce second risque est partiellement couvert, mais jamais totalement.

Couvrir ce risque n’incombe d’ailleurs pas uniquement aux fournisseurs comme Bleu ou S3NS. Il relève aussi de la responsabilité des clients, publics comme privés, qui doivent se donner les moyens de concevoir des trajectoires de sortie crédibles.

S3NS évoque, par exemple, une capacité de maintien en conditions de sécurité pendant six mois, offrant une fenêtre de bascule vers une solution alternative. Encore faut-il que cette bascule ait été pensée, testée, et financée en amont.

La résilience implique également un pilotage actif des dépendances critiques et, pour les grands comptes qui en ont les moyens, une diversification des fournisseurs.

Cette exigence doit toutefois être nuancée : toutes les organisations n’ont pas la taille ou les ressources pour multiplier les socles technologiques. Les ETI, en particulier, n’ont pas toujours ce luxe et doivent arbitrer selon une stricte balance bénéfices-risques.

BABE plutôt que MEGA : sortir de l’illusion

Face à cette réalité, l’opposition entre « souveraineté totale » et « dépendance assumée » est stérile. Le cadre proposé par le Centre for European Policy Studies est plus lucide : il préconise le BABE (Buy American, Build European) plutôt que le MEGA (Make Europe Great Again).

Acheter ce qui est nécessaire aujourd’hui pour ne pas paralyser nos économies, tout en investissant massivement pour bâtir des alternatives européennes crédibles demain.

Les montages comme S3NS ou Bleu ne sont ni des renoncements ni des solutions définitives. Ils sont des dispositifs de résilience, dans l’attente d’une véritable capacité industrielle européenne.

Les attaquer sans proposer de trajectoire alternative sérieuse revient à confondre posture morale et stratégie.

Le cloud, partie émergée de l’iceberg

La souveraineté numérique est un combat que l’Europe aurait dû engager il y a vingt ans. Aujourd’hui, l’enjeu est de construire une autonomie stratégique progressive, lucide sur nos dépendances et exigeante sur leur gouvernance.

Et surtout, ne nous trompons pas de combat : le cloud n’est que la partie émergée de l’iceberg.

Les dépendances critiques existent aussi on-premise, qu’il s’agisse de VMware, d’Oracle, de Windows Server ou d’autres briques structurantes de nos systèmes d’information. Là aussi, tout doit être repensé à l’aune d’une balance bénéfices-risques, profondément bouleversée par l’actualité géopolitique.

Cela suppose moins d’indignations épidermiques, et beaucoup plus de méthode, de lucidité et de travail structuré – que ce soit au niveau juridique, industriel et politique.