À l’ère numérique d’aujourd’hui, la manière dont les marques promeuvent leurs produits peut faire ou défaire leur réputation. Récemment, Trap Plan, une entreprise de marketing de jeux vidéo, a suscité la controverse lorsqu’il a été révélé que leur stratégie pour promouvoir WarRobots: Frontiers impliquait la création de faux comptes Reddit. Ce mouvement inhabituel soulève des […]
Si les sages de la rue Cambon admettent que la prise de conscience progresse depuis les années 2010, ils déplorent que la traduction opérationnelle reste largement insatisfaisante.
Et de refaire, encore et encore, les mêmes constats. En premier lieu, celui de la domination (70%) du marché du cloud en Europe par les trois hyperscalers américains, qui expose l’État français aux lois extraterritoriales américaines, notamment le Cloud Act de 2018 et l’article 702 du Foreign Intelligence Surveillance Act, permettant aux autorités américaines d’accéder à des données stockées en dehors de leur territoire.
Face à ce risque, l’État a élaboré une doctrine « Cloud au centre » en 2021, révisée en 2023, imposant le recours à des solutions qualifiées SecNumCloud pour les données les plus sensibles. Mais l’effet reste modeste : seuls neuf prestataires proposent aujourd’hui seize services qualifiés, et la commande publique en matière de cloud n’a atteint que 52 millions € en 2024, soit une fraction infime des 3 milliards € de dépenses numériques annuelles de l’État.
Des clouds interministériels sous-exploités
L’État dispose pourtant de deux infrastructures cloud internes : Nubo, porté par la Direction générale des finances publiques, et Pi, géré par le ministère de l’Intérieur. Opérationnels depuis la fin des années 2010, ces clouds n’ont mobilisé que 55,8 millions € sur neuf ans pour Nubo. Un investissement modeste comparé aux 350 millions € qu’OVHcloud a consacrés à ses seules infrastructures en 2024.
Surtout, ces clouds restent largement sous-utilisés en interministériel : la part d’usage par d’autres ministères que leurs promoteurs plafonne à 5%. Les raisons : une gamme de services limitée, une tarification jugée dissuasive – jusqu’à 75% supérieure au coût de revient réel – et des performances en retrait par rapport aux offres commerciales.
« Il conviendrait d’engager la convergence de ces deux clouds pour qu’ils atteignent une taille critique », recommande la Cour, qui estime qu’un effort budgétaire de 15 à 20 millions € par an permettrait d’améliorer significativement leur attractivité.
Des choix ministériels parfois contraires à la souveraineté
L’étude révèle plusieurs cas où des ministères ont privilégié la performance à la souveraineté. Le plus emblématique concerne Virtuo, le système de gestion des ressources humaines du ministère de l’Éducation nationale, qui traite les données de 1,2 million d’agents. Malgré les avis négatifs de l’Anssi et de la CNIL, le ministère a choisi en 2022 une solution hébergée par un groupe américain, au motif qu’aucune offre respectant les exigences SecNumCloud n’était disponible.
Le coût de la souveraineté est estimé entre 25% et 40% supplémentaires par rapport à une solution classique. Un surcoût que le ministère n’a pas souhaité assumer, préférant un déploiement rapide à un développement interne qui aurait coûté « quatre fois plus cher » selon ses propres estimations.
Le cas problématique des données de santé
La plateforme des données de santé (Health Data Hub), créée en 2019, illustre les contradictions de la politique gouvernementale. Hébergée depuis plus de cinq ans par Microsoft Azure pour des raisons de célérité, elle n’a jamais pu recevoir de copie complète du Système national des données de santé (SNDS), la CNIL s’opposant à ce transfert pour des raisons de souveraineté.
Résultat paradoxal : le choix d’un opérateur réputé performant a finalement freiné le déploiement de la plateforme, avec des délais d’accès aux données atteignant 18 mois en moyenne, contre trois à quatre mois au Royaume-Uni. « Une plateforme initialement moins performante, mais souveraine, aurait probablement permis un déploiement moins heurté », estime la Cour.
Le ministère de la Santé a annoncé en avril 2025 le lancement d’un appel d’offres pour migrer vers un hébergement souverain, mais la bascule n’est pas attendue avant fin 2026.
Cinq recommandations pour redresser la barre
Face à ces constats, la Cour formule cinq recommandations. La première vise à mettre en place dès 2026 un calendrier de déploiement d’outils de bureautique et de communication respectant la souveraineté des données, alors que la suite Microsoft Office reste massivement utilisée dans l’administration.
La deuxième appelle à intégrer une véritable stratégie de souveraineté numérique dans la feuille de route de la Direction interministérielle du numérique (Dinum), avec un chiffrage précis des investissements nécessaires. Un exercice qui n’a jamais été réalisé à ce jour.
La troisième recommande d’accélérer la convergence des clouds Nubo et Pi pour en faire une offre interministérielle crédible. La quatrième demande que chaque ministère cartographie en 2026 l’ensemble de ses données sensibles nécessitant un hébergement souverain – un inventaire qui n’existe pas actuellement.
Enfin, pour le secteur de la santé, la Cour préconise d’aligner la certification « Hébergeur de données de santé » sur les exigences SecNumCloud en matière de protection contre les lois extraterritoriales. Aujourd’hui, cette certification n’intègre pas de critères de souveraineté, permettant aux géants américains d’héberger des données médicales sensibles.
Un enjeu stratégique sous-estimé
Au-delà des questions techniques, la Cour pointe une gouvernance défaillante. Les instances interministérielles se concentrent sur des questions opérationnelles plutôt que stratégiques, et aucun pilotage transversal des investissements numériques n’est organisé entre ministères. La notion même de « souveraineté numérique » n’est apparue qu’en 2019 dans les documents officiels de la Dinum.
« Tant que l’Europe ne dispose pas d’opérateurs capables de rivaliser avec les hyperscalers, les administrations publiques devraient viser une performance des systèmes d’information plus strictement adaptée à leurs besoins », conclut la Cour. Un degré trop élevé de performance à court terme peut constituer un double écueil : mise en cause de la souveraineté sur les données et dépendance vis-à-vis de la politique commerciale d’éditeurs dominants.
Le coût complet de la sécurité des jeux Olympiques et Paralympiques s’est élevé à environ 2 milliards d’euros.
La Cour des comptes donne cette estimation. Elle distingue deux catégories de dépenses :
« Ponctuelles » (dont l’utilité est strictement liée à l’événement), avoisinant 1,7 Md€
« D’héritage » (qui ont bénéficié par après à l’ensemble des Français), pour un peu plus de 300 M€
Dépenses de fonctionnement : 90 M€ pour l’IT et la cyber
Les coûts ponctuels comprennent environ 679 M€ de dépenses de personnel. Le reste correspond aux dépenses de fonctionnement, dont environ 90 M€ pour les systèmes d’information et de communication.
Une part importante (25,36 M€) est allée à la cybersécurité du COJOP (comité d’organisation).
L’ARS Sud a quant à elle déboursé 1,5 M€ pour la cybersécurité des hôpitaux.
La police nationale a dépensé 22,9 M€ dans ses SI, hors investissement.
Cybersécurité comprise, ce poste a consommé 6,6 M€ au secrétariat général du ministère de l’Intérieur.
Ce dernier a aussi dépensé 21,5 M€ sur l’expérimentation de technologies de sécurité. Près de 200, issues à 95 % d’entreprises françaises, dans le cadre de 5 projets structurants formalisés en 2020. Un budget initial de 25 M€ avait été prévu, mais 3,5 M€ ont finalement été redirigés vers d’autres services du ministère pour durcir ses SI et renforcer la cybersécurité des sites de compétition (y compris pour la Coupe du monde de rugby 2023).
L’expérimentation a été assurée par la DEPSA (direction des entreprises et partenariats de sécurité et des armes). Elle s’est appuyée sur :
Une assistance à maîtrise d’ouvrage (2,2 M€)
Une maîtrise d’œuvre (0,6 M€)
Des entreprises du privé pour réaliser les scénarios, les études fonctionnelles et la doctrine d’emploi (0,6 M€)
Les 18 M€ restants se sont répartis comme suit :
ANSSI comprise, les dépenses de fonctionnement informatiques du SGDSN (secrétariat général de la défense et de la sécurité nationale) se sont élevées à 11,6 M€, incluant sécurisation des SI critiques et entraînement à la gestion de crise d’origine cyber.
La Cour des comptes y ajoute 50 000 € pour le renforcement du SI de la Brigade des sapeurs-pompiers de Paris.
74 M€ de dépenses d’héritage
Près d’un quart des dépenses d’héritage sont allées aux SI et aux salles de commandement.
La modernisation des salles de commandement de la police nationale a consommé 4,2 M€. Il en a coûté 16,2 M€ pour la préfecture de police.
Autre poste de dépenses à deux chiffres : le renforcement des systèmes de communication sécurisés du plan de vidéoprotection pour Paris (12 M€). La Ville a aussi déboursé 300 000 € pour la création de sa propre salle de commandement (le Paris Operations Center).
Au ministère des Armées, la facture s’est élevée à 8,4 M€ pour l’acquisition de matériel d’informatique. Dont 3000 terminaux Auxilium (1,7 M€) pour les militaires de Sentinelle et 1080 DIPAD (2 M€) pour communiquer avec les forces de sécurité intérieure.
Le renforcement des infrastructures de communication et des équipements dédiés à la lutte antidrones a absorbé plus de 18 M€ : 7,3 M€ à l’ANFSI (Agence du numérique des forces de sécurité intérieures) et 10,8 M€ pour la préfecture de police.
Lutte antidrones comprise, les dépenses d’investissement SI ont dépassé 14 M€ du côté de la police et avoisiné 5,5 M€ pour la gendarmerie.
La DINUM a quant à elle investi 11,38 M€ dans des travaux de résilience du RIE (Réseau interministériel de l’État).
Aucune dépense d’envergure exceptionnelle n’a été engagée, note la Cour des comptes. Les dépenses d’investissement se sont principalement traduites par une multitude d’opérations ciblées.
Connexion
