Affaire NSO-WhatsApp : quand la dépendance aux outils américains devient un risque de gouvernance pour les DSI européens

# Affaire NSO-WhatsApp : quand la dépendance aux outils américains devient un risque de gouvernance pour les DSI européens

> *En 2026, le jugement définitif rendu dans l'affaire NSO Group contre Meta/WhatsApp ne fait pas que clore un contentieux judiciaire américano-américain. Il ouvre une question que trop de DSI européens continuent d'esquiver : que se passe-t-il quand l'infrastructure de communication de votre entreprise appartient à un acteur dont vous ne maîtrisez ni le code, ni les partenaires, ni les juridictions applicables ?*

Une affaire américaine, mais une leçon universelle

Rappelons les faits. En 2019, Meta — alors encore habillé en champion de la « connexion humaine » — porte plainte contre NSO Group, éditeur israélien du logiciel espion Pegasus, pour avoir exploité une vulnérabilité zero-day dans WhatsApp afin de compromettre les appareils de milliers d'utilisateurs à travers le monde. Le verdict, rendu en 2025 et confirmé en appel début 2026, condamne NSO. Meta crie victoire.

Mais regardons ce que cette victoire dit réellement des risques structurels pour les entreprises européennes.

Première observation : la vulnérabilité exploitée par NSO existait dans le code de WhatsApp. Elle a été utilisée à grande échelle pendant des mois avant d'être détectée. La faille n'a pas été découverte par Meta en interne — elle a été identifiée par des chercheurs et journalistes, notamment via des travaux du Citizen Lab (Université de Toronto). Autrement dit, l'éditeur américain ne savait pas. Ou ne voulait pas savoir.

Deuxième observation, plus dérangeante encore : parmi les cibles de Pegasus identifiées lors de ces investigations figuraient des journalistes, des militants, mais aussi — et c'est moins documenté publiquement — des cadres d'entreprises, des avocats, des responsables de négociations commerciales sensibles. Pas des cibles « exotiques ». Des profils qui ressemblent précisément aux utilisateurs des outils de collaboration que vos équipes IT ont déployés sans sourciller.

Troisième observation : le procès s'est déroulé exclusivement sous juridiction américaine. Les victimes européennes n'ont eu aucun levier direct. Leurs données, leurs communications, leur vie professionnelle numérique — tout cela a été traité comme une variable d'ajustement dans un contentieux entre deux entreprises privées américaines.

C'est cela, concrètement, la dépendance aux outils américains. Pas un slogan souverainiste. Un mécanisme juridique et opérationnel dont votre SI subit les conséquences sans y participer.

WhatsApp dans les entreprises : le problème que personne ne veut nommer

Commençons par l'impensé. WhatsApp est devenu, dans un nombre significatif de PME et ETI européennes, un outil de communication professionnel de facto. Pas une décision de la DSI. Pas un déploiement planifié. Une infiltration par le bas, portée par les commerciaux, les dirigeants, les équipes terrain.

Le RSSI qui lit cet article sait exactement de quoi il s'agit. Les groupes WhatsApp qui contournent la messagerie d'entreprise. Les fichiers clients envoyés depuis un téléphone personnel. Les décisions prises dans une conversation qui n'est ni archivée, ni auditable, ni soumise à la politique de rétention de données de l'entreprise.

Ce n'est pas une question de confort utilisateur. C'est une question de maîtrise du système d'information.

Or, l'affaire NSO révèle quelque chose que le marketing de Meta a soigneusement évité de mettre en avant pendant des années : WhatsApp est une boîte noire. Le chiffrement de bout en bout est réel — sur le contenu des messages. Mais les métadonnées (qui contacte qui, quand, depuis où, avec quelle fréquence) restent accessibles à Meta. Et surtout, la surface d'attaque de l'application elle-même — le code client, les mécanismes d'appel, les bibliothèques tierces — peut receler des vulnérabilités que ni vous, ni votre équipe, ni même l'éditeur ne connaissent.

La question pour votre équipe IT n'est pas « WhatsApp est-il sécurisé en théorie ? » La question est : avez-vous la capacité d'auditer, de contrôler et de gouverner cet outil sur votre périmètre ? La réponse, si vous êtes honnête, est non.

Et c'est précisément là que la dépendance devient un problème de gouvernance, pas seulement de sécurité technique.

Ce que l'affaire change concrètement pour les équipes IT

Concrètement, le jugement NSO-WhatsApp modifie l'équation de risque sur plusieurs plans que les équipes IT doivent intégrer dans leur travail quotidien.

La surface de responsabilité s'élargit

Avant ce jugement, un DSI pouvait difficilement arguer devant son COMEX que l'utilisation de WhatsApp dans les communications professionnelles constituait un risque documenté et judiciaire. Désormais, c'est le cas. Un tribunal américain a établi que la plateforme a été exploitée à grande échelle pour compromettre des appareils à l'insu de leurs propriétaires.

Cela modifie le discours interne. La DSI n'est plus en position de confort si elle laisse prospérer l'usage de WhatsApp pour des échanges professionnels sensibles sans avoir documenté ce choix, évalué l'exposition et formalisé une politique. En cas d'incident — fuite de données, compromission d'un appareil, litige commercial — la question « pourquoi n'aviez-vous pas encadré cet usage ? » ne sera pas rhétorique.

L'injonction à l'audit devient légitime

L'un des effets concrets de ce type d'affaire est de légitimer ce que beaucoup de RSSI demandaient sans être entendus : un inventaire exhaustif des outils de communication utilisés dans l'entreprise, y compris les outils non officiellement déployés par la DSI.

Cet audit n'est pas un exercice bureaucratique. C'est une cartographie de votre exposition réelle. Quels outils collectent des métadonnées sur vos flux de communication ? Sous quelles juridictions ces données sont-elles hébergées ? Quels sont les mécanismes de notification en cas de faille chez l'éditeur ? Qui, dans votre entreprise, est en capacité de répondre à ces questions pour chaque outil en usage ?

Dans la majorité des ETI européennes, personne ne peut répondre à ces questions pour la totalité du périmètre. C'est cela, le risque réel.

La pression sur les équipes de productivité IT change de nature

Pendant des années, les équipes IT des PME et ETI ont été soumises à une injonction contradictoire : déployer vite des outils de productivité pour satisfaire les métiers, tout en maintenant un niveau de sécurité et de conformité acceptable. Les suites collaboratives américaines dominantes ont prospéré sur cette tension, en proposant des environnements intégrés où la facilité d'usage justifiait de fermer les yeux sur la question du contrôle.

L'affaire NSO-WhatsApp illustre que cette logique a un coût différé. Et que ce coût se présente sous une forme que les DSI n'avaient pas nécessairement anticipée : non pas une attaque frontale sur leur infrastructure, mais une compromission latérale via un outil que leurs propres collaborateurs ont introduit dans le SI par commodité.

Cela signifie que la productivité IT ne peut plus être évaluée uniquement à l'aune de la vitesse de déploiement ou du taux d'adoption. Elle doit intégrer une dimension de gouvernance : est-ce que je sais ce que cet outil fait, où il envoie des données, et quel recours j'ai si quelque chose se passe ?

Où en sont les alternatives européennes, vraiment ?

Ici, il faut être honnête et éviter le discours de façade.

L'écosystème européen des outils de messagerie et de collaboration sécurisée existe. Il a progressé. Des acteurs comme Tuta (anciennement Tutanota, éditeur allemand) ou Infomaniak (éditeur suisse) proposent des solutions de messagerie et de collaboration dont le modèle économique n'est pas fondé sur la valorisation des métadonnées et dont les infrastructures sont soumises au droit européen ou suisse.

Mais soyons clairs sur ce que « alternative européenne » signifie concrètement pour une équipe IT en 2026.

Cela signifie un effort de migration réel. Des habitudes utilisateurs à changer. Des intégrations à reconstruire. Des politiques MDM (Mobile Device Management) à adapter pour gérer des applications que les équipes ne connaissent pas aussi bien que les outils dominants américains. Ce n'est pas insurmontable — des ETI l'ont fait — mais prétendre que c'est transparent serait mentir.

Cela signifie aussi accepter que certaines fonctionnalités soient différentes. Pas nécessairement inférieures, mais différentes. Et que la conduite du changement est une compétence que la DSI devra mobiliser, avec le soutien explicite de la direction générale.

La vraie question n'est pas « existe-t-il des alternatives ? » — elles existent. La question est : votre organisation est-elle prête à valoriser la maîtrise de son SI autant qu'elle valorise la facilité d'usage à court terme ?

C'est une question politique autant que technique. Et c'est une question que les DSI européens ne peuvent plus déléguer à leurs fournisseurs américains.

Ce que les RSSI et CTO devraient retenir — sans langue de bois

L'affaire NSO-WhatsApp n'est pas une anecdote judiciaire. C'est un révélateur de structures.

Elle révèle qu'un outil utilisé par des milliards de personnes, dont probablement plusieurs centaines de collaborateurs dans votre entreprise, peut être exploité à grande échelle par un acteur tiers pendant des mois sans que l'éditeur lui-même ne le sache ou ne l'admette. Elle révèle que les recours juridiques disponibles pour les victimes européennes sont limités, lents et dépendants des priorités d'un système judiciaire américain dont vous n'êtes pas le client.

Elle révèle aussi — et c'est peut-être le point le plus inconfortable — que la sécurité par la popularité est une illusion. Le fait que WhatsApp soit utilisé par des milliards de personnes ne l'a pas protégé. Au contraire : sa popularité en a fait une cible de premier choix pour quiconque cherchait à compromettre un maximum d'appareils avec un minimum d'efforts.

Pour les équipes IT, le travail concret qui découle de tout cela n'est pas de tout remplacer demain matin. C'est de commencer à construire une cartographie honnête de l'exposition de leur SI aux outils dont ils ne maîtrisent pas le code, les données, ni les juridictions. C'est de documenter les usages non officiels pour pouvoir les adresser. C'est de créer les conditions d'un dialogue avec la direction générale où la souveraineté numérique n'est pas présentée comme une contrainte idéologique, mais comme un facteur de résilience opérationnelle.

En 2026, les entreprises européennes qui ont entamé ce travail il y a quelques années commencent à en voir les bénéfices. Pas parce qu'elles ont suivi une injonction politique. Parce qu'elles ont compris que dépendre d'un outil dont vous ne contrôlez ni les mises à jour de sécurité, ni les conditions de service, ni le traitement des incidents, c'est sous-traiter une partie de votre gouvernance à un acteur qui n'a aucune obligation envers vous.

L'affaire NSO-WhatsApp le confirme avec une clarté que même les directions générales les plus réticentes auront du mal à ignorer.

*Cet article fait partie de la série RiffLab « Reprendre la main sur son SI » — analyses à destination des équipes IT qui veulent des arguments concrets, pas des slogans.*