Quand la base de données part chez l'adversaire : le retour douloureux d'une ETI qui avait tout confié à l'acteur américain

# Quand la base de données part chez l'adversaire : le retour douloureux d'une ETI qui avait tout confié à l'acteur américain

Ce que personne ne dit dans les brochures commerciales

À l'été 2025, une ETI industrielle de 800 salariés — fabricant de composants mécaniques de précision, implantée dans trois pays européens — découvre que sa base de données clients et fournisseurs a été partiellement exfiltrée. Pas un ransomware spectaculaire. Pas une prise d'otage avec compte à rebours. Une fuite silencieuse, méthodique, détectée des semaines après les faits par un prestataire de détection d'anomalies comportementales.

Le DSI que nous avons rencontré — appelons-le simplement Marc, la quarantaine, ingénieur de formation — n'est pas un naïf. Il avait coché toutes les cases du cahier des bonnes pratiques : chiffrement au repos, authentification multifacteur, sauvegardes régulières. Ce qu'il n'avait pas coché, c'est la case qu'on ne trouve dans aucun cahier des bonnes pratiques distribué par son éditeur américain : où sont physiquement ces données, qui y a légalement accès, et sous quelle juridiction ?

C'est la question qui dérange. Et c'est précisément celle que les DSI européens continuent de ne pas poser.

L'angle mort juridique que le Cloud Act a ouvert — et que personne ne ferme

La situation de cette ETI n'est pas exceptionnelle. Elle est représentative d'une génération entière de directions informatiques européennes qui ont migré leurs bases de données opérationnelles vers des plateformes gérées par des acteurs américains — parfois sous pression économique, parfois par défaut de solutions perçues comme équivalentes, souvent par habitude.

Le problème n'est pas technique. Le problème est structurel et juridique.

Depuis l'entrée en vigueur du Cloud Act américain en 2018, toute entreprise technologique soumise à la juridiction des États-Unis est contrainte, sur injonction gouvernementale, de fournir des données stockées sur ses serveurs — y compris des serveurs situés en Europe. Pas besoin de commission rogatoire internationale. Pas besoin d'accord bilatéral. Une injonction, un délai, et les données transitent.

Marc le savait, théoriquement. Comme beaucoup, il s'était dit que ce risque était « hypothétique » et que son ETI n'était pas une cible géopolitique. Sauf que dans le monde industriel de 2026, une base de données clients et fournisseurs d'un fabricant de composants de précision, c'est une cartographie de la chaîne d'approvisionnement. C'est exactement ce que les acteurs étatiques étrangers — et pas seulement américains — cherchent à reconstituer.

La fuite détectée chez cette ETI ne provenait pas d'une injonction Cloud Act. Elle provenait d'une compromission classique d'un compte à privilèges. Mais l'investigation post-incident a mis en lumière un second problème, plus insidieux : les logs d'accès administrateur côté hébergeur n'étaient pas accessibles à l'entreprise. Impossible d'auditer qui, chez le prestataire américain, avait accédé à quoi, et quand. Opacité totale. Conformité RGPD introuvable. Responsabilité diluée dans des conditions générales rédigées sous droit du Delaware.

NIS2, DORA : les textes sont là, les pratiques ne suivent pas

Il faut poser la question franchement : à quoi servent NIS2 et DORA si les bases de données critiques des opérateurs concernés restent hébergées sur des infrastructures extraterritoriales non auditables ?

NIS2, transposée dans la plupart des États membres depuis 2024, impose aux entités essentielles et importantes une obligation de maîtrise de la chaîne de sous-traitance numérique. L'article 21 est explicite sur la gestion des risques liés aux fournisseurs. Mais dans les faits, lors des audits de conformité, la question de la souveraineté juridique de l'hébergement est encore traitée comme un détail — voire ignorée — au profit des critères purement techniques.

DORA, qui s'applique au secteur financier depuis janvier 2025, va plus loin en imposant des droits d'audit contractuels sur les prestataires critiques. C'est une avancée réelle. Mais elle ne concerne pas les ETI industrielles comme celle de Marc. Et même dans le secteur financier, les directions juridiques bataillent encore pour obtenir des clauses d'audit opposables auprès des acteurs dominants américains.

Le RGPD, lui, interdit en théorie les transferts de données personnelles vers des pays tiers sans garanties adéquates. En pratique, les clauses contractuelles types utilisées par la quasi-totalité des acteurs américains ont été contestées deux fois devant la CJUE (Schrems I et II) et le Data Privacy Framework actuel reste fragile politiquement. Miser sa conformité sur un accord diplomatique révisable à chaque alternance politique américaine, c'est construire sa maison sur du sable.

Ce que l'incident a vraiment coûté — et ce qu'on ne peut pas chiffrer

Marc refuse de donner des chiffres précis, et on ne lui en voudra pas. Mais il décrit trois niveaux de coûts que son comité de direction n'avait pas anticipés.

Le premier est opérationnel : des semaines de mobilisation des équipes IT et juridiques, une notification à la CNIL, des échanges avec des clients et fournisseurs potentiellement affectés, une révision d'urgence des accès et des architectures. Tout cela pendant que la production, elle, ne s'arrête pas.

Le second est réputationnel : deux grands comptes ont demandé des garanties formelles sur la sécurité des données que l'ETI héberge en leur nom. L'un d'eux a diligenté son propre audit. La relation commerciale a survécu — de justesse.

Le troisième coût est celui qu'on ne voit pas dans les tableaux de bord : la perte de maîtrise. Marc formule cela avec une précision qui mérite d'être citée : « On a réalisé qu'on ne savait pas vraiment ce qu'on avait, où c'était, et qui pouvait y accéder en dehors de nous. Pour un DSI, c'est une capitulation. »

La souveraineté des données n'est pas une posture idéologique

C'est ici que le débat doit être tranché clairement, parce que les équipes commerciales des acteurs américains excellent à retourner l'argument : la souveraineté numérique serait du protectionnisme déguisé, un frein à l'innovation, une nostalgie technologique.

C'est un argument commode pour ceux qui vendent précisément les solutions que la souveraineté remet en question.

Des acteurs européens existent sur le segment des bases de données managées souveraines. Clever Cloud, opérateur français, propose depuis plusieurs années des environnements d'hébergement de bases de données avec des garanties contractuelles de localisation et d'audit conformes au droit européen. Ce n'est pas un catalogue exhaustif — d'autres existent, en Allemagne, en Scandinavie, aux Pays-Bas — mais c'est la démonstration que le choix existe, et qu'il n'implique pas nécessairement une régression fonctionnelle.

La vraie question n'est pas « peut-on faire sans les acteurs américains ? » La vraie question est : jusqu'où les DSI européens sont-ils prêts à déléguer leur souveraineté avant qu'un incident les force à la récupérer dans l'urgence ?

Conclusions transférables pour les DSI en 2026

L'histoire de cette ETI industrielle ne se conclut pas par une migration magique vers un SI souverain. Marc est pragmatique : la transition prend du temps, coûte de l'argent, et se heurte à des résistances internes. Mais l'incident a produit trois décisions concrètes, transférables à n'importe quelle organisation de taille comparable.

Première décision : cartographier systématiquement la juridiction applicable à chaque base de données critique — clients, fournisseurs, RH, R&D. Pas le datacenter physique. La juridiction légale de l'éditeur et de l'hébergeur. Ce sont deux choses différentes, et la confusion entre les deux est une source majeure d'illusion de conformité.

Deuxième décision : exiger contractuellement des droits d'audit sur les accès administrateurs des prestataires. Si un prestataire refuse ou dilue cette clause dans des renvois à ses conditions générales, c'est un signal d'alerte en soi. Un partenaire de confiance n'a pas peur d'être audité.

Troisième décision : ne pas attendre le prochain incident pour inscrire la souveraineté des données à l'ordre du jour du comité de direction. En 2026, avec NIS2 en vigueur et le paysage géopolitique numérique tel qu'il est, ce n'est plus un sujet de DSI. C'est un sujet de gouvernance d'entreprise.

Marc résume la leçon avec une formule que ses collègues DSI devraient afficher dans leurs bureaux : « On m'avait vendu de la tranquillité d'esprit. Ce qu'on m'avait vraiment vendu, c'est de l'ignorance confortable. »

La différence entre les deux se mesure au moment de l'incident. Et pas avant.