Connexion
Souveraineté numérique : les outils d’évaluation pleuvent
Maîtrise des données, indépendance technologique, autonomie stratégique : trois dimensions pour évaluer la souveraineté numérique.
En septembre 2025, Bechtle avait annoncé développer une méthodologie ainsi structurée. Il entendait la mettre en œuvre dans le cadre de son activité de conseil, à l’appui d’un « logiciel propriétaire ». Il était question d’un déploiement au premier trimestre 2026.
La semaine dernière, le distributeur informatique a donné des nouvelles de cet « index de souveraineté » : le voilà en pilote dans trois pays (Allemagne, Autriche, Suisse). Pour ce qui est du contenu, il n’en dit mot.
SUSE, au contraire, a joué l’ouverture. Il a publié, fin janvier, un outil d’autoévaluation aligné sur le Cloud Sovereignty Framework. Ce document, édité à l’initiative de la Commission européenne, doit servir de référence pour la commande publique de services cloud au niveau de l’UE. Il formule 8 objectifs et liste les enjeux qui les sous-tendent. Pour chaque objectif, on détermine un niveau d’assurance, sur 5 échelons. En complément, on calcule un « score de souveraineté », avec une pondération par objectif.
L’examen de souveraineté, version SUSE
SUSE reprend la structure du Cloud Sovereignty Framework et en tire 32 questions. Nous en reprenons ici les grandes lignes, en conservant tant que possible la formulation qui en est faite.
| Objectif | Points évalués |
| Souveraineté stratégique | – Autorité décisionnaire ultime localisée dans l’UE – Protections en cas de passage d’un fournisseur sous contrôle non européen – Transparence des fournisseurs sur les investissements dans l’UE et la feuille de route associée – Capacité à poursuivre l’exploitation si une entité étrangère exige la suspension d’un service |
| Souveraineté juridique | – Support opérationnel par du personnel localisé dans l’UE et dont le contrat est soumis à une juridiction de l’UE – Exposition des fournisseurs à des lois étrangères à portée extraterritoriale pouvant entraîner la divulgation de données – Existence de canaux juridiques ou techniques permettant à des autorités hors UE d’accéder à des données – Contrats désignant explicitement un tribunal de l’UE comme juridiction exclusive |
| Souveraineté data/IA | – Capacité à vérifier indépendamment qu’on contrôle seul les clés de chiffrement – Stockages et traitements localisés dans l’UE – Visibilité sur les accès aux données et aux métadonnées – Modèles IA et pipelines data développés, entraînés et exploités par des entités de l’UE, sur de l’infrastructure localisée dans l’UE |
| Souveraineté opérationnelle | – Capacité à migrer ses workloads vers des solutions européennes alternatives sans lock-in – Accès au code source et à la documentation – Capacité à gérer et à patcher la stack sans implication de fournisseurs hors UE – Garanties contractuelles de support sous juridiction UE et basé sur place |
| Souveraineté de la supply chain | – Capacité à obtenir un SBOM complet de l’environnement cloud – Degré de dépendance à des technos propriétaires non européennes sur les « chemins critiques » – Capacité à vérifier à quelle(s) juridiction(s) sont soumis firmware et code embarqué – Activités de développement, packaging et distribution de logiciels placées sous juridiction UE – Droit contractuel d’effectuer des audits indépendants de la supply chain, dont sous-traitants ultérieurs |
| Souveraineté technologique | – Cœur logiciel open source avec droits d’audit, modification et redistribution – Utilisation d’API non propriétaires et de standards à gouvernance publique (SUSE cite CNCF et OCI) – Visibilité sur l’architecture, les flux de données et les dépendances – Contribution active des fournisseurs à la gouvernance de communautés open source |
| Souveraineté en sécurité/conformité | – SOC et équipes de réponse aux incidents opérant sous juridiction UE – Détention de certifications de sécurité par les fournisseurs – Capacités, pour des entités de l’UE, à effectuer des audits de sécurité indépendants – Capacité à appliquer des correctifs de sécurité indépendamment des calendriers de fournisseurs hors UE |
| Soutenabilité environnementale | – Publication de cibles environnementales (PUE, carbone, eau) par les fournisseurs – Pratiques d’économie circulaire – Optimisation énergétique de la pile logicielle |
L’utilisateur est censé estimer son niveau d’assurance en suivant les 5 échelons du Cloud Sovereignty Framework. Ceux-ci sont évidemment contextualisés pour chaque question. Cela donne par exemple, pour la toute première (localisation des prises de décisions) :
| Niveau 0 | Toutes les décisions opérationnelles (réponse aux incidents, changements d’architecture, gestion des données, provisionnement d’infra) sont prises par du personnel localisé hors de l’UE. |
| Niveau 1 | Les opérations du quotidien sont gérées par du personnel basé dans l’UE. Mais les escalades et les décisions stratégiques nécessitent l’accord de personnes localisées hors de l’UE. |
| Niveau 2 | L’autorité opérationnelle appartient à une filiale basée dans l’UE et des protections contractuelles sont en place. Mais la maison mère garde un droit de veto sur les décisions majeures. |
| Niveau 3 | Il existe une entité basée dans l’UE et autonome pour prendre des décisions sur la plupart des opérations. Des entités hors UE s’implique, mais sont limitées à un rôle de conseil ou à une représentation minoritaire au conseil d’administration. |
| Niveau 4 | Toute l’autorité décisionnelle (C-level, board, opérationnel) est dans les mains de personnel basé dans l’UE, avec une gouvernance établie sur place. |
Chez Red Hat, une structure plus éloignée du Cloud Sovereignty Framework…
Red Hat a également son service d’autoévaluation, qu’il a mis en ligne mi-février, sur la base des travaux d’un de ses ingénieurs.
Moins « flexible » que celui de SUSE (on ne peut pas sauter des questions pour y revenir ensuite), cet outil est aussi structuré différemment. En l’occurrence, en 7 domaines. Avec, pour chacun, 3 questions, auxquelles on doit répondre « oui », « non » ou « je ne sais pas ». Il en résulte, en plus du score global, un niveau de maturité pour chaque domaine, sur 4 échelons dépendant du nombre de « oui ». En voici les grandes lignes :
| Objectifs | Points évalués |
| Souveraineté des données | – Respect des exigences locales et sectorielles en matière de résidence des données – Contrôle exclusif des clés de chiffrement – Capacité à empêcher que les données sensibles traversent des limites géographiques spécifiques |
| Souveraineté technique | – Capacité à atténuer les risques de lock-in – Priorisation des standards open source par rapport aux API propriétaires – Capacité à migrer les applications critiques vers d’autres clouds |
| Souveraineté opérationnelle | – Capacité à poursuivre l’exploitation des systèmes critiques en cas d’indisponibilité de services cloud externes – Expertise interne pour gérer l’infrastructure souveraine – Intégration de l’aspect géopolitiques dans les stratégies de récupération après sinistre |
| « Assurance » de souveraineté | – Capacité à vérifier indépendamment la sécurité, l’intégrité et la fiabilité des systèmes, données et infras – Contrôle du lieu de stockage des journaux de sécurité et des pistes d’audit – Connaissance des standards de souveraineté applicables au niveau national |
| Open source | – Politique formelle favorisant les logiciels open source – Capacité à maintenir des logiciels indépendamment d’un fournisseur tiers – Contribution active à des projets open source importants pour l’activité de l’entreprise |
| Supervision exécutive | – Sponsoring exécutif ou comité de pilotage pour les initiatives de souveraineté numérique – Intégration explicite de la souveraineté numérique dans la stratégie corporate ou IT – Budget dédié aux initiatives de souveraineté |
| Services managés | – Capacité à restreindre les déploiements cloud à des régions ou datacenters spécifiques – Contrôle et suivi des accès administratifs des cloud providers – Test ou validation de la capacité à migrer des workloads vers d’autres clouds |
… mais un outil « spécial UE » en toile de fond
L’ingénieur à l’origine de l’outil de Red Hat en a aussi développé un « spécial UE ». Il s’inspire assez nettement du Cloud Sovereignty Framework, en reprenant ses 8 objectifs… mais en les déclinant assez différemment de ce qu’a fait SUSE. En voici le récapitulatif. Les éléments spécifiques sont grands caractères. Les ajouts significatifs, en gras.
| Objectif | Points évalués |
| Souveraineté stratégique | – Fournisseurs établis dans l’UE et siège social localisé sur place – Protections en cas de passage d’un fournisseur sous contrôle non européen – Fournisseurs financés principalement par des investisseurs ou des institutions basés dans l’UE |
| Souveraineté juridique | – Contrat placé explicitement sous juridiction UE – Fournisseurs non soumis à des lois étrangères à portée extraterritoriale pouvant entraîner la divulgation de données – Désignation explicite de lieux dans l’UE pour la résolution des litiges |
| Souveraineté data/IA | – Contrôle exclusif sur les clés de chiffrement – Stockages et traitements dans l’UE – Garanties contractuelles interdisant l’utilisation sans consentement des données et des modèles d’IA à des fins d’entraînement ou de profilage |
| Souveraineté opérationnelle | – Documentation et test de stratégies de migration – Capacité à opérer et restaurer des systèmes critiques sans dépendre de tierces parties hors UE – Équipes administratives et de support technique localisées dans l’UE |
| Souveraineté de la supply chain | – Visibilité sur la supply chain des composants critiques – Composants logiciels critiques essentiellement sourcés de fournisseurs européens ou open source – Stratégie de diversification des fournisseurs |
| Souveraineté technologique | – Usage de standards ouverts et de technologies interopérables – Capacité à migrer les workloads critiques sans modification significative – Exploitation de technologies open source et contribution à des projets soutenus par l’UE |
| Souveraineté en sécurité/conformité | – SOC localisé(s) exclusivement dans l’UE – Droit contractuel d’effectuer des audits et des évaluations de sécurité inopinés du fournisseur – Stockage des journaux de sécurité, des pistes d’audit et des preuves de conformité sous juridiction UE |
| Soutenabilité environnementale | – Fournisseurs utilisant des énergies issues de sources renouvelables basées dans l’UE – Évaluation de l’impact environnemental des services cloud et stratégie de réduction carbone – Alignement sur les réglementations environnementales et les cadres de développement durable de l’UE |
Illustration générée par IA
The post Souveraineté numérique : les outils d’évaluation pleuvent appeared first on Silicon.fr.
