Données legacy sous pression : ce que l'incident Gîtes de France révèle sur la dette de souveraineté des PME européennes

# Données legacy sous pression : ce que l'incident Gîtes de France révèle sur la dette de souveraineté des PME européennes

Ce que l'incident révèle, au-delà du fait divers

Au printemps 2026, Gîtes de France subit une cyberattaque sérieuse. Des données personnelles de membres et de clients sont compromises. L'incident fait quelques jours de presse spécialisée, puis retombe dans le silence habituel.

Pourtant, pour les DSI et RSSI de PME et ETI européennes, ce cas mérite qu'on s'y arrête. Pas pour juger une organisation en particulier. Mais parce que la situation de Gîtes de France est, à bien des égards, celle de milliers de structures comparables sur le continent : un patrimoine de données constitué sur des années, des systèmes d'information hétérogènes, des ressources IT limitées, et une pression croissante pour « aller dans le cloud ». Souvent, le cloud d'un acteur américain.

C'est précisément cette pression-là qu'il faut interroger.

Retour terrain : une ETI industrielle de 800 salariés face à sa dette technique

Prenons un cas concret. Une ETI industrielle de 800 salariés, implantée en Europe centrale. Fabrication de composants mécaniques. Clientèle B2B, majoritairement européenne. Le responsable des systèmes d'information — appelons-le Marc — gère une équipe de six personnes pour l'ensemble du parc informatique.

Quand Marc prend son poste, il hérite d'une situation classique. Des données de production stockées dans des bases propriétaires vieilles de dix à quinze ans. Un ERP (progiciel de gestion intégré) installé on-premise — c'est-à-dire sur des serveurs physiques dans l'entreprise — jamais vraiment mis à jour. Des sauvegardes réalisées sur bandes magnétiques, sans test de restauration régulier. Et, en surface, un antivirus d'entreprise renouvelé chaque année par contrat.

C'est ce qu'on appelle des données legacy : des données et des systèmes anciens, souvent critiques pour le métier, mais mal documentés, peu sécurisés, et difficiles à migrer.

Un audit de cybersécurité commandé après un incident mineur — une tentative de phishing ayant failli aboutir — met à nu plusieurs vulnérabilités. Parmi elles : des accès non segmentés entre les systèmes de production et les postes administratifs, une absence de chiffrement sur les sauvegardes, et surtout, aucun plan de reprise d'activité (PRA) testé depuis plus de trois ans.

Le réflexe cloud américain : une réponse séduisante, un risque structurel

Face à ce constat, le premier réflexe de plusieurs prestataires consultés est identique : « Migrez vers le cloud. » Dans les faits, cela signifie souvent : migrez vers l'un des trois hyperscalers américains dominants.

L'argument commercial est rodé. Externaliser l'infrastructure, c'est transférer la responsabilité technique, mutualiser les coûts, bénéficier de mises à jour automatiques. Sur le papier, c'est rassurant.

Mais Marc, après quelques semaines d'analyse, identifie trois problèmes concrets.

Premier problème : la dépendance tarifaire. Les hyperscalers américains pratiquent des tarifications volumétriques complexes. Les coûts initiaux paraissent maîtrisés. Mais à mesure que les volumes de données augmentent, que les usages s'intensifient, la facture monte. Et une fois les données migrées, le coût de sortie — ce qu'on appelle les egress fees, les frais de transfert de données vers l'extérieur — rend le retrait en arrière économiquement douloureux. C'est un enfermement progressif, documenté et assumé par ces acteurs.

Deuxième problème : la conformité réglementaire. L'ETI traite des données de clients européens, y compris dans des secteurs soumis au RGPD (Règlement Général sur la Protection des Données) et à des normes sectorielles spécifiques. Or, le Cloud Act américain — une loi de 2018 qui autorise les autorités américaines à exiger l'accès aux données stockées par des entreprises US, même sur des serveurs situés en Europe — crée une incertitude juridique réelle. Incertitude que peu de prestataires évoquent spontanément lors des phases commerciales.

Troisième problème : la perte de lisibilité budgétaire. Marc ne sait pas, à douze mois, ce que coûtera son infrastructure si son volume de données double. Ce manque de prévisibilité est un risque réel pour une ETI dont les marges industrielles sont serrées.

La voie souveraine : pas un retour en arrière, une stratégie d'avenir

L'ETI de Marc ne rejette pas le cloud. Elle choisit de le pratiquer différemment.

Première décision : segmenter les données par criticité. Toutes les données n'ont pas la même valeur ni le même niveau de sensibilité. Les données de production historiques, les fichiers clients, les contrats — ce noyau dur — restent hébergés sur une infrastructure maîtrisée, en Europe, chez un acteur soumis exclusivement au droit européen. Les usages collaboratifs moins sensibles peuvent, eux, être traités différemment.

Cette cartographie des données — qu'on appelle aussi data mapping — est une étape simple en apparence, mais souvent négligée. Elle conditionne pourtant toutes les décisions suivantes.

Deuxième décision : investir dans un plan de reprise d'activité réel. Pas un document PowerPoint. Un PRA testé, simulé, avec des objectifs de temps de reprise clairs. Ce travail, souvent perçu comme une dépense sans retour visible, est en réalité une assurance opérationnelle. Le coût d'un arrêt de production non anticipé dépasse presque toujours, et largement, le coût d'un PRA bien construit.

Troisième décision : s'appuyer sur des prestataires européens certifiés. Marc sélectionne un hébergeur qualifié SecNumCloud — la certification délivrée par l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information, qui garantit un niveau de protection élevé et une localisation des données en France, hors de portée du Cloud Act. Ce type de certification existe également dans d'autres pays européens, avec des référentiels comparables.

L'acteur retenu n'est pas le moins cher du marché. Mais la lisibilité tarifaire est contractuellement garantie sur trois ans. C'est cet engagement-là qui fait pencher la balance, plus que le coût à l'instant T.

Ce que ça coûte vraiment — et ce que ça rapporte

La question budgétaire est centrale. Les équipes dirigeantes d'une ETI ne financent pas un projet sur des arguments idéologiques. Elles financent des résultats.

Migrer des données legacy vers une infrastructure souveraine et sécurisée a un coût réel : audit préalable, travail de cartographie, migration technique, formation des équipes, mise à niveau des processus de sauvegarde. Ce sont des dépenses concentrées dans le temps, souvent sur six à dix-huit mois.

Mais en face, il faut poser les coûts évités : le coût d'une violation de données (notification réglementaire, amendes RGPD potentielles, atteinte à la réputation client), le coût d'un ransomware non couvert par un PRA défaillant, et — moins visible mais tout aussi réel — le coût de la dépendance tarifaire progressive à un acteur dont les décisions commerciales se prennent à des milliers de kilomètres.

L'ETI de Marc ne raisonne plus en coût IT annuel. Elle raisonne en coût total de possession (TCO) sur cinq ans, en intégrant les risques comme des variables économiques. C'est un changement de posture, autant que de méthode.

Les conclusions que tout DSI peut transférer

L'incident Gîtes de France n'est pas une exception. C'est un signal parmi d'autres, qui pointe vers une vulnérabilité structurelle commune à de nombreuses organisations européennes : des données legacy peu protégées, une dépendance croissante à des acteurs non soumis au droit européen, et une pression commerciale qui oriente souvent vers des solutions pratiques à court terme mais risquées à moyen terme.

Les enseignements du cas de cette ETI industrielle sont transférables, quelle que soit la taille ou le secteur.

D'abord : cartographier avant de migrer. Savoir où sont les données, qui y accède, et quelle est leur criticité. C'est une décision de gouvernance, pas seulement une décision technique.

Ensuite : exiger la lisibilité contractuelle. Un prestataire qui ne peut pas s'engager sur un tarif pluriannuel prévisible transfère le risque tarifaire vers son client. Ce risque a une valeur économique. Il doit être intégré dans la comparaison.

Enfin : regarder l'écosystème européen avec sérieux. Il existe aujourd'hui des acteurs certifiés, compétents, capables d'accompagner des migrations complexes sur des données legacy. Ils ne font pas l'objet des mêmes budgets marketing que les hyperscalers américains. Ils méritent d'être évalués avec les mêmes critères — pas moins.

La souveraineté numérique n'est pas un slogan politique. Pour un DSI de PME ou d'ETI, c'est une variable budgétaire, un levier de maîtrise des risques, et une condition de résilience opérationnelle. L'incident Gîtes de France rappelle, une fois de plus, que ce travail ne souffre plus d'être remis à plus tard.