Sous une application, un ensemble de couches techniques invisibles soutient le système d’information. Ces dépendances, souvent liées à des technologies américaines, posent des enjeux de résilience pour les entreprises et nécessitent d’être mises en évidence.
Au regard des tensions géopolitiques et économiques actuelles, est-il encore possible de cartographier toutes les dépendances des systèmes d’information de nos entreprises aux technologies américaines ? Derrière chaque interface ou application métier se cache une architecture complexe faite de briques techniques (hébergement, authentification, outils de développement, sécurité, observabilité…) interagissant entre elles en continu. D’un point de vue technique, ces liens discrets entre technologies peuvent, en cas de problème sur l’un des éléments de la chaîne, provoquer des défaillances en cascade, jusqu’à paralyser une activité, comme l’ont par exemple illustré les « pannes mondiales » provoquées par Cloudflare en juin et en juillet 2024. « L’invisibilité [de nos dépendances] vient du fait que la majorité des systèmes d’information repose sur des couches sous-jacentes : frameworks, API, services de sécurité, bases de données, et surtout le cloud, qu’il soit IaaS ou PaaS. Ces briques, qui forment le “sol numérique” sur lequel tout repose, proviennent encore massivement de fournisseurs américains : AWS, Microsoft Azure, Google Cloud, mais aussi GitHub, Datadog ou Okta », illustre Yann Lechelle, CEO de Probabl, membre expert IA et souveraineté du board de France Digitale et membre du board du Hub France IA.
Des risques à la fois techniques, économiques et juridiques
L’idée de cartographier l’ensemble de ces liens et des risques associés s’impose de plus en plus dans les directions des systèmes d’information. « Pendant longtemps, le focus a été mis sur la confidentialité des données », remonte Vincent Maret, associé chez KPMG France, responsable du pôle Cybersécurité et Protection des données personnelles et IA. Depuis un an, on s’aperçoit qu’il y a aussi un sujet de disponibilité, et que ce n’est pas corrélé à l’emplacement des données. Techniquement, on ne peut pas exclure qu’un jour un ordre soit donné qui fasse qu’une instance soit stoppée, ralentie ou que la facturation soit modifiée. Ce scénario est improbable, mais pas totalement exclu », souligne l’expert, en référence notamment aux « Executive Orders » de Donald Trump. Les risques liés à ces dépendances sont en effet à la fois techniques, économiques et juridiques. Une rupture contractuelle, une hausse de tarifs, ou une suspension de service peuvent impacter immédiatement la production ou l’activité de l’entreprise. « Le risque n’est pas théorique : il suffit d’une rupture contractuelle, d’un changement de licence ou d’un conflit extraterritorial pour paralyser un SI », détaille Yann Lechelle. Si ces vulnérabilités ne sont pas nouvelles, elles se renforcent avec la généralisation du cloud et des outils SaaS intégrés : une mise à jour automatique d’un agent de sécurité ou d’un driver système peut ainsi bloquer plusieurs milliers de machines en quelques minutes.
Tenter d’identifier « ce qui dépend de quoi »
Pour les DSI, la première étape de cette cartographie de l’invisible consiste donc à établir une « carte d’identité » technique de chaque application : composants, fournisseurs, flux et rôles associés. Les approches de type SBOM (Software Bill of Materials) permettent ainsi de lister les dépendances logicielles, y compris celles issues de bibliothèques open source. Mais la réduction des dépendances invisibles ne se résume pas à un projet simplement technique. Une cartographie efficace suppose avant tout un pilotage sur la durée. « Dresser une cartographie précise de toutes ces dépendances est une nécessité. Mais cela suppose d’aller au-delà de la conformité pour entrer dans une démarche de pilotage. Les DSI et COMEX peuvent aujourd’hui s’appuyer sur des outils d’audit de dépendances logicielles ou d’analyse de fournisseurs cloud, mais il faut y ajouter une couche d’interprétation stratégique », affirme Yann Lechelle. « C’est tout l’objet de l’Indice de Résilience Numérique (IRN) en train d’être lancé : donner aux dirigeants un tableau de bord de leur exposition technologique, identifier les dépendances critiques et piloter des scénarios d’atténuation. L’IRN permet de quantifier ces vulnérabilités et d’en faire un levier de décision pour les conseils d’administration. L’objectif n’est pas le repli, mais la résilience stratégique : un concept clé de l’ouvertarisme », rappelle Yann Lechelle, en référence au livre-manifeste sur un numérique souverain, éthique et coopératif, qu’il a publié récemment.
S’essayer à une cartographie des non-dépendances
Pour Vincent Maret, il est important de prendre la mesure de l’importance d’une approche globale. « C’est un continuum : ce n’est pas “le cloud” uniquement. Si nous voulons être souverains [sur les operating systems], autant passer chez Linux, sans mise à jour automatique : en France, la gendarmerie nationale utilise Linux depuis des années », cite-t-il comme exemple. Dans ce cadre, les alternatives européennes, du cloud (OVHcloud, Scaleway, Outscale, Clever Cloud), de la sécurité (Wazuh, CrowdSec), de la donnée (PostgreSQL, Hugging Face) ou de l’interopérabilité… peuvent former un ensemble cohérent, mais encore peu intégré aux SI français. Vincent Maret recommande donc de tenter une cartographie inversée : « Je crains qu’il y ait [beaucoup trop de technologies américaines] dont nous sommes dépendants… donc autant faire l’inverse et s’essayer à une cartographie des non-dépendances. Nous avons des acteurs européens au niveau du cloud ou des solutions applicatives ; mais il suffit qu’un morceau de la chaîne soit dépendant pour que la chaîne le soit. Dans le CAC 40, je ne connais pas d’entreprise totalement dans un cloud souverain. Donc, on choisit ses combats et on se demande ce qu’on fait en premier. » Pour Yann Lechelle, l’outil pour s’y retrouver et identifier ces axes d’action existe déjà : c’est l’EuroStack. « Ce n’est pas un produit, mais un écosystème d’acteurs européens et open source (cloud, sécurité, données, IA) dont la faiblesse n’est pas technique, mais systémique : il reste trop fragmenté face à des offres américaines intégrées et “évidentes” ». Le spécialiste en est convaincu : « Le numérique européen ne manque pas de talents ni de technologies, mais d’intégration stratégique. [C’est pourquoi, il faut] faire de l’ouverture non pas une posture, mais une politique industrielle de résilience. L’EuroStack en est l’infrastructure, et l’Index de Résilience Numérique l’instrument de mesure. »