Imaginez ceci : nous sommes au début de l’année 2020 et vous siégez au Comex d’une entreprise européenne. À l’époque, la guerre commerciale s’intensifie entre les États-Unis et la Chine. Votre principal fournisseur de services cloud (CSP) a son siège en Californie, avec tout un réseau de data centers répartis en Asie). Du jour au lendemain, cet hyperscaler est confronté à des restrictions à l’exportation et/ou à des droits de douane sur des technologies et services essentiels. Vous êtes soudain pris entre deux feux. Et comme votre infrastructure s’étend à plusieurs zones géographiques, vous vous retrouvez soumis à des exigences aussi existentielles qu’imprévues en matière de conformité et de droit du commerce.
Côté résilience, les plans de continuité/reprise d’activité (PRA/PCA) de votre entreprise supposent un accès sans frontières à vos fournisseurs et à leurs équipes de support. Or ces mêmes frontières, que vous pensiez ouvertes à jamais, viennent de se refermer sur votre entreprise.
Vous n’aviez pas prévu cela. Comme tout le monde, d’ailleurs.
Nous avons atteint un point de bascule en matière de cybersécurité et de cyberopérations. Alors que la plupart d’entre nous ont passé les dix dernières années à optimiser la vitesse, les coûts et l’efficacité de nos environnements cloud, le climat politique est soudainement passé de schémas prévisibles à une dynamique de turbulences constantes. À l’heure où les frontières commencent à se durcir, les « passeports des fournisseurs » sont devenus des facteurs de risque critiques. Rien ne nous avait préparés à un tel revirement de situation, mais nous allons devoir nous y faire d’une manière ou d’une autre.
RSSI, DSI, directeurs d’exploitation, membres de conseils d’administration… Les centaines de dirigeants avec lesquels j’échange finissent toujours par me poser la même question : « À la lumière des tensions géopolitiques, de quel degré de souveraineté avons-nous réellement besoin ? » Sur un marché en pleine ébullition, chaque fournisseur y va de sa propre solution de souveraineté face à des entreprises qui, dans la précipitation, risquent de surinterpréter les enjeux pour le théâtre politique, alors qu’il s’agit en fait d’un problème de résilience opérationnelle.
Aujourd’hui, la question n’est plus de savoir si votre stratégie de souveraineté des données se heurtera à la réalité géopolitique, mais quand.
En réponse à cette nouvelle réalité, j’ai imaginé le concept de Souveraineté minimale viable, à savoir le seuil de contrôle souverain dont vous avez besoin pour garantir votre continuité opérationnelle lorsque les conditions géopolitiques se détériorent.
Il ne s’agit pas d’une souveraineté totale et parfaite de tous les systèmes. Il ne s’agit pas non plus d’alourdir le fardeau de la conformité. Il s’agit simplement des voies critiques de reprise d’activité qui doivent rester sous votre contrôle lorsque les frontières se referment. Les entreprises qui résistent à ce type de tempête sont celles qui ont su identifier leur Souveraineté minimale viable et adapté leurs opérations bien en amont.
Janvier 2026 : quand l’hypothèse devient réalité
Au début de cette année, la Chine a ordonné aux entreprises du pays de cesser toute utilisation de logiciels de cybersécurité d’éditeurs américains et israéliens, invoquant pour cela des raisons de sécurité nationale. Loin des manœuvres de politique politicienne, cette décision confirme notre entrée dans une ère où le lieu d’implantation de votre fournisseur peut devenir un point unique de défaillance, ou SPOF.
La fragmentation géopolitique est désormais l’une des trois forces qui remodèlent fondamentalement l’anatomie du risque mondial, au même titre que l’IA et les cyberinégalités. Dans son Global Cybersecurity Outlook 2026, le Forum économique mondial met clairement en garde : « Le risque de cybersécurité s’accélère en 2026, sous l’impulsion des progrès de l’IA, de l’aggravation de la fragmentation géopolitique et de la complexité des supply chains ».
Nous ne sommes plus dans des hypothèses abstraites, mais dans la réalité opérationnelle d’aujourd’hui.
Pourquoi ces trois forces sont-elles devenues les grands déterminants de l’économie mondiale ? Rappelons quelques événements de 2025 pour situer le contexte :
Campagne pluriannuelle de Salt Typhoon : des acteurs cyber au service de la Chine ont compromis au moins 8 fournisseurs de télécommunications américains. En août 2025, le FBI confirme que ce groupe étatique est parvenu à s’introduire dans les systèmes de 200 entreprises réparties dans 80 pays. Outre les données de leurs victimes, les attaquants s’en sont pris à leurs infrastructures de communications transfrontalières et de restauration des activités post-incident.
Taïwan, une infrastructure digitale assiégée : le Bureau de la sécurité nationale a enregistré en moyenne 2,63 millions de cyberattaques par jour contre les infrastructures critiques du pays, soit une augmentation de 6 % par rapport à l’année précédente. Hôpitaux, banques, réseaux télécoms, systèmes gouvernementaux… tous ces opérateurs d’importance vitale ont fait l’objet d’un pilonnage incessant. Voilà comment se décline une tension géopolitique soutenue au niveau opérationnel.
Doublement des attaques contre les supply chains : selon le rapport 2025 de Cyble, les cyberattaques contre les chaînes d’approvisionnement ont bondi à 26 incidents par mois, soit le double du taux enregistré début 2024. Une étude de Palo Alto Networks démontre par ailleurs qu’en 2023, près d’un tiers des compromissions sont passées par des prestataires externes. Malheureusement, loin d’être des anomalies, ces exemples constituent aujourd’hui la norme.
En effet, une étude Gartner de novembre 2025 révèle que « 61 % des DSI et des responsables informatiques d’Europe occidentale prévoient de faire davantage appel à des CSP locaux pour des raisons géopolitiques ». Plus frappant encore, 53 % ont déclaré que « les enjeux géopolitiques limiteront à terme leur recours à des CSP internationaux », tandis que 44 % affirment que c’est déjà le cas à l’heure actuelle.
Gartner prévoit que d’ici 2030, plus de 75 % des entreprises hors États-Unis auront une stratégie de souveraineté numérique. Ce revirement (que Gartner appelle « géopatriation ») représente un changement architectural fondamental dans la manière dont les organisations envisagent la résidence de leurs données, leur contrôle opérationnel et leur risque fournisseur.
Pourtant, alors que 88 % des entreprises s’inquiètent des risques cyber qui pèsent sur leur supply chain, seules 14 % évaluent la posture de cybersécurité de leurs fournisseurs directs, lesquels constituent pourtant l’un des facteurs de risque les plus importants (et à plus forte croissance) de toute l’histoire du numérique. Pire encore, ce chiffre tombe à 7 % pour la supply chain indirecte.
Ce décalage entre préoccupations et actions est dangereux à l’heure où les chocs géopolitiques peuvent interrompre instantanément l’accès des entreprises à leurs fournisseurs.
Les vrais enjeux de souveraineté (bien au-delà des questions de conformité)
Autrefois, la souveraineté des données était traitée comme une question de conformité : « Où résident physiquement les données et quelles sont les réglementations qui les régissent ? »
Aujourd’hui, la nouvelle réalité géopolitique appelle à des questions plus difficiles dans trois domaines essentiels. Cependant, attention à ne pas aborder le sujet sous la forme d’une checklist visant à cocher toutes les cases (ce qui n’est ni réaliste ni nécessaire). Inscrivez-vous plutôt dans une démarche d’identification des points d’exposition de votre souveraineté :
Souveraineté des données – Où résident physiquement vos données ? À quelle juridiction sont-elles soumises ? Qui peut délivrer ou contrôler les mandats d’accès aux données ? Si un gouvernement étranger demande à accéder à des données sous sa juridiction, quelle est votre position juridique ?
Souveraineté opérationnelle – Qui exploite réellement votre infrastructure de reprise d’activité ? Pouvez-vous basculer vers cette infrastructure sans l’intervention d’un fournisseur ou d’un gouvernement ? Où sont basées les équipes de support de votre fournisseur ? Si ces pays font l’objet de sanctions ou de restrictions, pouvez-vous quand même rétablir vos opérations ? Contrôlez-vous les clés de chiffrement ou votre fournisseur les détient-il ? Si le pays d’origine de votre fournisseur fait l’objet d’un blocus numérique, serez-vous encore en mesure de déchiffrer vos données et d’y accéder ?
Souveraineté des fournisseurs – Où se trouve le siège de votre fournisseur ? Où sont basés ses ingénieurs et ses équipes opérationnelles ? Peuvent-ils être sanctionnés, restreints ou contraints par des gouvernements étrangers ? Qu’advient-il de vos capacités de reprise si les tensions géopolitiques visent la juridiction d’origine de votre fournisseur ?
Malheureusement, aucun fournisseur ne résout parfaitement les trois variables de cette équation pour toutes les organisations. Un fournisseur basé aux États-Unis, sans aucune implantation en Europe, pourra convenir parfaitement aux clients américains. En revanche, il pourrait représenter un risque de souveraineté pour les entreprises européennes ou asiatiques en cas de contrôles ou de sanctions par les autorités américaines. Un fournisseur régional pourra certes résoudre le problème de résidence des données, mais il n’aura pas l’envergure opérationnelle nécessaire pour les entreprises à vocation internationale, lesquelles ont besoin d’un fournisseur présent sur tous les grands continents.
Le but n’est pas d’atteindre une souveraineté parfaite partout, mais de comprendre votre exposition et d’élaborer une architecture adaptée à vos enjeux propres (physionomie de la menace, implantations géographiques et environnement réglementaire). Votre entreprise ne sera résiliente que si vous dressez un bilan objectif de votre souveraineté sur ces trois dimensions, que vous opérez des arbitrages en connaissance de cause et que vous vous rapprochez de votre fournisseur pour concevoir avec lui des architectures de reprise qui restent opérationnelles même en cas de perte de vos prérequis opérationnels essentiels.
Attention à ce qu’on vous vend
La Souveraineté minimale viable est le seuil de contrôle souverain requis pour garantir la continuité opérationnelle lorsque le climat géopolitique se détériore. Précisons tout d’abord que la Souveraineté minimale viable est un modèle de priorisation, et non une fin en soi. Dans un premier temps, l’accent doit être mis sur l’identification des voies de reprise critiques (sauvegardes, restaurations, systèmes d’identité, gestion des clés et infrastructure de basculement). Ensuite, veillez à garantir l’indépendance opérationnelle de ces voies lorsque les frontières se referment ou que des sanctions tombent.
Ce qui constitue un « minimum viable » variera en fonction du pays d’implantation de votre organisation, de ses obligations réglementaires, des menaces auxquelles elle est confrontée et de sa tolérance au risque. La question que chaque dirigeant devrait se poser est la suivante : « Quel est le plus petit ensemble de capacités qui doit rester sous notre contrôle souverain pour garantir la reprise de notre activité ? »
Pour la plupart des organisations, la Souveraineté minimale viable passe par un bilan initial objectif :
Infrastructure de sauvegarde et de restauration – Pouvez-vous rétablir les opérations sans dépendre des équipes de support du fournisseur situées dans des juridictions faisant l’objet de sanctions ou d’un blocus numérique ? Si le siège ou les principales capacités opérationnelles de votre fournisseur sont soumises à restrictions, disposez-vous d’autres voies de reprise ?
Gestion des clés – Où sont stockées les clés de chiffrement et qui en contrôle l’accès ? Si la juridiction d’implantation de votre fournisseur est frappée de sanctions, pouvez-vous toujours déchiffrer vos données et y accéder ? Des dispositifs « Bring-Your-Own-Key » (BYOK) ou « Hold-Your-Own-Key » (HYOK) sont-ils nécessaires, peut-être pas pour tous vos workloads mais au moins pour les plus sensibles ?
Résilience des systèmes d’identité et d’authentification – Votre infrastructure d’identités restera-t-elle opérationnelle si les API de votre principal CSP sont restreintes ou géobloquées ? Avez-vous des fournisseurs de solutions d’identités sur lesquels vous rabattre dans d’autres juridictions ?
Indépendance des basculements – Pouvez-vous basculer vers des sites de secours sans intervention du fournisseur ni dépendance transfrontalière ? Ces sites secondaires sont-ils réellement indépendants ou sont-ils pilotés par les mêmes équipes opérationnelles du fournisseur ?
Lorsque votre entreprise est prise dans la tourmente géopolitique, il est essentiel pour vous de répondre à ces questions. Lorsqu’elles prennent leurs décisions sur des critères de coûts et de performances, la plupart des organisations ne peuvent que constater a posteriori qu’elles ont externalisé leur souveraineté opérationnelle à des fournisseurs dont elles ne considéraient alors pas les juridictions comme des facteurs de risque à part entière. Dans mes nombreux échanges avec des dirigeants, j’ai même entendu quelqu’un me dire : « Nous ne savons pas si nous pourrions nous remettre sur pied sans l’aide de notre fournisseur ». C’est très inquiétant.
Ce déficit de souveraineté représente un risque inacceptable dans le climat géopolitique actuel.
Le point critique est atteint
Je n’irai pas par quatre chemins : nous traversons une crise de souveraineté qui représente aujourd’hui le principal risque de cyber-résilience. Malgré cela, la plupart des organisations n’ont formalisé aucune stratégie en la matière, ni aucun plan d’urgence en cas de sanctions ou de fermeture des frontières. La souveraineté doit donc se projeter bien au-delà des seules questions de conformité pour agir sur plusieurs tableaux :
Visibilité permanente sur les juridictions des fournisseurs, la localisation des données et les points de contrôle opérationnels
Plans de résilience prévoyant un éventuel blocage des accès aux fournisseurs en cas d’hostilités géopolitiques
Architectures de reprise restant opérationnelles lorsque les frontières se referment et que les API sont géobloquées
Bilans des risques fournisseurs dépassant la seule posture de cybersécurité pour inclure l’exposition géopolitique
Capacité avérée de basculement et de restauration sans intervention étrangère
Autre précision importante : il est essentiel de placer la souveraineté au cœur de notre stratégie de cyber-restauration, au même titre que la sauvegarde, la reprise après sinistre et la réponse à incident.
Message aux conseils d’administration
La souveraineté relève de l’urgence absolue. Sans elle, la reprise de vos activités n’est pas assurée. Avec des conséquences parfois définitives. D’où l’importance d’élever le sujet au rang des priorités dans les plus hautes sphères de l’entreprise. Mais pour nourrir des conversations constructives dans les conseils d’administration, l’expérience m’a appris qu’il faut savoir affronter des questions difficiles :
Si la juridiction de notre fournisseur principal décrétait un blocus numérique aujourd’hui, combien de temps nous faudrait-il pour rebondir sans son aide ?
Pouvons-nous prouver aux régulateurs et aux clients que notre infrastructure de secours est indépendante sur le plan opérationnel ?
Les plateformes cloud et les systèmes de restauration et de sauvegarde SaaS dont nous dépendons sont-ils couverts par notre stratégie de souveraineté ? Ou sont-ils exposés ?
Avons-nous délibérément séparé les workloads soumis à un contrôle souverain de ceux pouvant accepter un risque lié à la juridiction du fournisseur ?
Malheureusement, peu d’organisations savent répondre à ces questions… et les attaquants s’en frottent les mains !
La souveraineté est au cœur de la résilience
Nous devons tous prendre conscience du fait que la souveraineté sous-tend la résilience dans un monde de plus en plus fragmenté sur le plan géopolitique. La souveraineté ne détermine pas seulement l’emplacement des données, elle régit également qui peut y accéder, qui peut les exploiter et qui peut en restreindre l’accès.
Que se passe-t-il lorsque cette souveraineté est compromise ? Dans le climat géopolitique actuel, le plan de continuité d’activité ne doit pas se limiter à la remise en ligne des identités, des systèmes et des données. Ni même au déchiffrement des données post-ransomware. Vous devez aussi prouver que votre infrastructure de reprise est sous votre contrôle et qu’aucune entité étrangère ne peut la bloquer, y accéder ou la manipuler.
Sans stratégie de résilience souveraine, toutes les autres couches de votre architecture de résilience seront des forteresses de papier. C’est pourquoi les acteurs étatiques et les groupes APT ciblent de plus en plus la dépendance des organisations à leurs CSP, non seulement pour causer des dommages, mais aussi pour ralentir le plus possible la reprise. Les attaquants le savent : une fois la souveraineté perdue, le retour à la normale est long, coûteux et incertain. Cette perte déséquilibre aussi le rapport de force à leur avantage dans les cas d’extorsions, de négociations de rançon et du déroulement de l’attaque en général.
La souveraineté n’est plus reléguée aux équipes de conformité ou au service juridique de l’organisation : elle s’inscrit désormais au cœur de la résilience opérationnelle et de la capacité d’une organisation à réaffirmer son contrôle aux moments les plus critiques.
Les leviers d’action immédiats pour les dirigeants
En matière de souveraineté, les leviers d’action se situent sur trois axes :
Audit de l’exposition de votre souveraineté :
Cartographiez les juridictions de chaque fournisseur essentiel, les emplacements des données et les points de contrôle opérationnels.
Identifiez les restrictions géopolitiques qui pourraient couper instantanément votre accès à l’infrastructure de reprise.
Documentez les fournisseurs dont les équipes se situent dans des juridictions soumises à des sanctions effectives ou potentielles. Commencez par vos fournisseurs de solutions de sauvegarde et de restauration, car ils constituent à la fois votre première et votre dernière ligne de défense.
Concevez une architecture de résilience multi-souveraine :
Mettez en place des architectures de reprise qui restent opérationnelles lorsque les frontières se ferment.
Rendez vos architectures d’identité et d’API résistantes au géoblocage.
Testez des scénarios de basculement sans accès au fournisseur. Vous ne pouvez pas partir du principe que ce dernier sera là pour vous accompagner dans la reprise de vos activités.
Définissez votre Souveraineté minimale viable :
Identifiez le plus petit ensemble de capacités à préserver sous contrôle de souveraineté pour garantir la reprise de l’activité.
Évitez de trop placer l’accent sur des considérations purement politiques.
Concentrez-vous sur les voies de reprise critiques (sauvegardes, identités, gestion des clés, basculement)
Séparez les workloads exigeant un contrôle souverain de ceux qui peuvent accepter un risque lié à la juridiction du fournisseur. Pour les premiers, veillez à une totale indépendance opérationnelle des voies de reprise critiques.
La résilience sans souveraineté est une résilience en sursis !
L’écart continue de se creuser entre ceux qui considèrent la souveraineté comme une priorité stratégique et ceux qui ne la voient que comme une formalité réglementaire. Les perspectives 2026 du Forum économique mondial s’achèvent sur un constat sévère : les structures publiques et privées sont toutes confrontées à « une pression croissante pour s’adapter dans un contexte de défis de souveraineté persistants et de disparités croissantes » au niveau des capacités.
La question à laquelle tout dirigeant doit répondre est simple : lorsque les tensions géopolitiques s’intensifieront (et cela sera vraisemblablement le cas), saurez-vous garantir la continuité de vos opérations ?
Ou apprendrez-vous à vos dépens que votre stratégie de reprise reposait sur des hypothèses caduques ?
Collectivement, nous devons cesser de considérer la souveraineté comme une préoccupation régionale ou un fardeau réglementaire. Elle est au contraire le fondement de la cyber-résilience, à une époque où la géopolitique est devenue indissociable de la cybersécurité.
La prochaine fois qu’un gouvernement décrétera des restrictions d’accès à certains fournisseurs ou prononcera des sanctions qui remettront en cause la viabilité économique de certaines opérations, votre conseil d’administration ne vous demandera pas si vous êtes en règle. Il vous demandera si vous êtes prêts !
Sources et lectures complémentaires
Forum économique mondial, Global Cybersecurity Outlook 2026
Gartner, « Survey Reveals Geopolitics Will Drive 61% of CIOs to Increase Local Cloud Reliance » (novembre 2025)
Reuters, « Chinese Cyberattacks on Taiwan Averaged 2.6 Million a Day in 2025 » (janvier 2026)
Reuters, « Beijing Tells Chinese Firms to Stop Using US and Israeli Cybersecurity Software » (janvier 2026)
Palo Alto Networks, « Supply Chain Chaos in 2025: How Geopolitics Are Rewriting the Rules »
Cyble, « Supply Chain Attacks Surge in 2025: Double the Usual Rate »
Cybersecurity Dive, « At Least 8 US Companies Hit in Telecom Attack Spree »
(décembre 2024)
Rubrik, « Rubrik annonce le lancement de Rubrik Security Cloud Sovereign » (janvier 2026)