Quand une ETI industrielle repose sa cybersécurité sur des mains européennes

# Quand une ETI industrielle repose sa cybersécurité sur des mains européennes

L'entrée de BlueSecure dans Hexatrust en 2026 n'est pas un simple mouvement d'écosystème. Pour certaines ETI européennes engagées dans une démarche de souveraineté numérique, c'est un signal de maturité — et parfois l'occasion de tirer les leçons d'une transition entamée depuis plusieurs mois.

La situation de départ : une dépendance construite par défaut

Une ETI industrielle de 800 salariés, implantée en France avec des filiales en Allemagne et en Pologne, se retrouvait en 2024 dans une situation que beaucoup de DSI reconnaîtront : un parc de sécurité composite, constitué au fil des années par sédimentation de choix successifs. La détection des menaces reposait sur la solution d'un éditeur américain. La gestion des identités était déléguée à un annuaire hébergé dans des datacenters dont la localisation exacte restait, dans les faits, difficile à vérifier contractuellement. La messagerie sécurisée utilisée par les équipes techniques s'appuyait sur une infrastructure soumise au droit américain.

Personne n'avait décidé cela consciemment. C'était le résultat de décisions prises sous contrainte de temps, de budget ou de disponibilité de compétences internes. L'acteur américain dominant était là, référencé, connu, supporté par les intégrateurs locaux. On avait dit oui, puis encore oui.

Le DSI de cette ETI décrit la prise de conscience comme progressive : « Ce n'est pas une décision stratégique qui nous a mis en mouvement. C'est la lecture attentive de NIS2 et la réalisation que nous étions opérateur d'importance dans notre secteur. À partir de là, les questions sur la localisation des données et sur les accès tiers sont devenues incontournables."

Le catalyseur réglementaire : NIS2 comme révélateur, pas comme contrainte

La directive NIS2, transposée en droit français avec ses obligations de notification d'incidents, de gestion des risques tiers et de responsabilité des dirigeants, a agi ici comme un révélateur plus que comme une contrainte supplémentaire. Elle a donné au DSI un argument pour faire remonter des sujets qui stagnaient dans les comités de direction depuis plusieurs exercices.

L'enjeu central était celui de l'extraterritorialité. Le Cloud Act américain autorise les autorités fédérales américaines à accéder aux données stockées ou gérées par des entreprises soumises au droit américain, y compris lorsque ces données sont localisées en Europe. Cette réalité juridique, souvent minimisée dans les évaluations de risques internes, devenait un point de blocage explicite dès lors que l'ETI traitait des données de sous-traitance industrielle sensibles pour des donneurs d'ordre du secteur de la défense ou de l'énergie.

Le RGPD ajoutait une couche supplémentaire : les transferts de données hors UE, même implicites via des outils d'administration à distance ou de télémétrie, devaient être documentés et justifiés. Dans la pratique, les équipes juridiques internes n'étaient pas en mesure de garantir l'exhaustivité de ces flux avec les solutions en place.

Le choix d'un écosystème plutôt que d'un produit

La migration ne s'est pas faite par substitution produit à produit. C'est une nuance importante. L'ETI n'a pas cherché « l'équivalent européen » d'une solution américaine. Elle a reconstruit son périmètre de sécurité en partant des exigences de conformité et de souveraineté, puis en cherchant quels acteurs européens pouvaient y répondre avec un niveau de maturité acceptable.

C'est là qu'un label comme Hexatrust prend une valeur opérationnelle concrète. Pour une équipe sécurité de taille limitée — le RSSI de cette ETI gère une équipe de quelques personnes —, l'appartenance d'un éditeur à un groupement qualifié réduit le coût d'évaluation. Elle ne garantit rien sur la qualité intrinsèque du produit, mais elle signale un engagement sur des critères de gouvernance, de localisation et d'indépendance capitalistique qui, autrement, nécessiteraient des audits coûteux.

L'arrivée de BlueSecure dans Hexatrust s'inscrit dans ce contexte. Pour une ETI qui évaluait des solutions de gestion des accès à privilèges et de surveillance des terminaux industriels, la labellisation d'un acteur supplémentaire dans ce périmètre élargit concrètement le champ des options qualifiées. Ce n'est pas une révolution. C'est une consolidation progressive d'un marché qui en avait besoin.

Ce que la transition a réellement coûté — et appris

Soyons précis : la migration n'a pas été indolore. Plusieurs points de friction méritent d'être documentés pour les organisations qui s'engagent dans une démarche similaire.

Premièrement, la maturité des intégrations. Certaines solutions souveraines évaluées présentaient des connecteurs moins développés avec les environnements OT (technologies opérationnelles) présents dans les ateliers de production. L'ETI a dû investir en intégration sur mesure sur une partie du périmètre. Ce surcoût était anticipable mais avait été sous-estimé.

Deuxièmement, la disponibilité des compétences. Les prestataires locaux et régionaux formés sur les solutions retenues étaient moins nombreux que sur les outils américains dominants. Le RSSI a dû élargir sa zone de sourcing pour trouver des compétences certifiées, ce qui a allongé les délais de déploiement.

Troisièmement, la documentation contractuelle. L'un des gains inattendus de la migration a été la qualité des contrats obtenus avec les éditeurs européens retenus : localisation des données explicitement garantie, droit d'audit contractualisé, clause d'absence de transfert vers des juridictions tierces. Des clauses que les équipes juridiques n'arrivaient pas à obtenir auprès des acteurs américains, ou seulement sous des formulations ambiguës.

Sur le fond, le bilan après plusieurs mois d'exploitation est positif. Le RSSI résume ainsi : « On a échangé de la commodité contre de la maîtrise. Ce n'est pas le même travail au quotidien, mais on sait ce qu'on contrôle et ce qu'on ne contrôle pas. Avant, on ne savait pas."

Ce que la consolidation d'Hexatrust change pour les ETI

La dynamique de labellisation et de consolidation de l'écosystème souverain français — dont le rapprochement BlueSecure/Hexatrust est un exemple récent — a plusieurs implications pratiques pour les DSI et RSSI d'ETI.

Elle réduit le risque de se retrouver seul avec un éditeur isolé, sans écosystème de support ni garantie de pérennité. Une des craintes légitimes face aux solutions souveraines de taille plus modeste est le risque de rachat ou de défaillance. L'appartenance à un groupement structuré ne l'élimine pas, mais signale une volonté de construction collective dans la durée.

Elle facilite aussi la justification interne. Présenter à un comité de direction une solution labellisée par un groupement reconnu, qualifiée par l'ANSSI sur certains segments, est plus aisé que défendre un éditeur inconnu au nom de principes souverainistes que les directions générales ne partagent pas toujours spontanément.

Enfin, elle commence à constituer une masse critique de références. Les ETI ont besoin de savoir que d'autres organisations comparables ont déjà fait le chemin. L'écosystème souverain européen manquait jusqu'ici de ces retours d'expérience documentés et crédibles.

Conclusions transferables

Plusieurs enseignements de ce retour terrain méritent d'être retenus par les DSI et RSSI engagés dans une démarche similaire.

La souveraineté numérique ne se décrète pas en remplaçant un outil par un autre. Elle se construit par une révision méthodique du périmètre de risque, en partant des obligations réglementaires réelles — NIS2, DORA pour les acteurs financiers, RGPD — et en remontant vers les choix techniques.

L'extraterritorialité américaine n'est pas un risque théorique. Elle est une réalité juridique documentée, qui doit figurer dans les analyses de risques tiers au même titre que la disponibilité ou la performance.

Les labels et groupements comme Hexatrust sont des outils d'orientation utiles, à condition de ne pas leur déléguer l'évaluation. Ils réduisent le coût de qualification initiale ; ils ne remplacent pas l'audit contractuel et technique.

Enfin, la transition a un coût réel, principalement en intégration et en compétences. Ce coût doit être mis en regard du coût de la dépendance : risque réglementaire, incapacité à garantir la localisation des données, fragilité contractuelle face à des acteurs dont la politique tarifaire et les conditions d'utilisation évoluent unilatéralement.

Ce n'est pas un argument idéologique. C'est une analyse de risque.