Glasswing : quand les Big Tech américaines transforment la cybersécurité en dépendance stratégique

# Glasswing : quand les Big Tech américaines transforment la cybersécurité en dépendance stratégique

Vous avez choisi Microsoft Sentinel pour centraliser vos logs. Puis Defender pour protéger vos endpoints. Puis Purview pour la conformité. À chaque étape, le choix semblait rationnel — intégration native, coûts maîtrisés, support unifié. Aujourd'hui, vous réalisez que sortir de cet écosystème vous coûterait plus cher que d'y rester. C'est exactement ce que prédit le modèle dit « Glasswing » : une architecture de dépendance si transparente qu'on ne la voit qu'une fois enfermé dedans.

Ce qu'on appelle Glasswing, et pourquoi le mot compte

Glasswing n'est pas un produit. C'est un terme d'analyse stratégique qui circule depuis 2025 dans les cercles de la souveraineté numérique européenne — think tanks, DSI de grandes administrations, quelques cabinets de conseil spécialisés. Il désigne une forme de verrouillage de marché qui se distingue du lock-in classique par sa lisibilité apparente : tout semble ouvert, interopérable, standardisé. Les API sont documentées. Les prix sont publics. Les certifications existent — dont, pour certains acteurs, des qualifications SecNumCloud ou des certifications ANSSI.

Mais sous cette transparence de façade, la mécanique est redoutablement efficace. Les données de sécurité — logs, alertes, indicateurs de compromission, cartographies de menaces — s'agrègent dans des plateformes propriétaires. Les modèles d'IA qui analysent ces données sont entraînés sur des corpus que vous n'aurez jamais accès à auditer. Et progressivement, votre capacité à détecter, répondre et anticiper devient dépendante d'une infrastructure décisionnelle que vous ne contrôlez pas.

En 2026, ce phénomène a pris une dimension nouvelle avec la montée en puissance des plateformes XDR (Extended Detection and Response) portées par Microsoft, CrowdStrike et Palo Alto Networks. Ces trois acteurs ne vendent plus seulement des outils — ils vendent une vision du monde cyber dans laquelle leur télémétrie globale est présentée comme un avantage compétitif inégalable. Et c'est là que le débat devient politique autant que technique.

La télémétrie comme matière première stratégique

Voilà le point que peu de DSI formalisent clairement dans leurs comités de direction : en déployant un XDR américain dans votre infrastructure, vous contribuez à enrichir un modèle de renseignement sur les menaces qui appartient à une entité soumise au droit américain — CLOUD Act inclus.

Cela ne signifie pas que vos données sont lues par la NSA à chaque instant. Ce serait une caricature. Mais cela signifie que la donnée la plus sensible qui soit — la cartographie précise de vos vulnérabilités, de vos comportements réseau, de vos actifs critiques — réside dans un système sur lequel une juridiction étrangère peut exercer des droits. Pour une entreprise privée, c'est un risque à évaluer. Pour un opérateur d'importance vitale, une collectivité ou un acteur de défense, c'est une question de souveraineté nationale.

L'ANSSI le dit depuis plusieurs années, et la directive NIS2 — transposée en droit français en 2025 — a renforcé les obligations de maîtrise de la chaîne de sous-traitance de sécurité. Mais entre l'obligation réglementaire et la réalité des déploiements, il y a un écart que beaucoup de DSI de PME et d'ETI connaissent bien : on n'a pas toujours les ressources pour auditer chaque brique, et les éditeurs américains ont des équipes commerciales très efficaces pour rassurer sur la conformité.

Pourquoi les Big Tech ont pris une longueur d'avance structurelle

Soyons honnêtes sur ce qui rend cette situation difficile à renverser. Les acteurs américains ne dominent pas la cybersécurité mondiale parce qu'ils ont triché. Ils dominent parce qu'ils ont investi massivement — en R&D, en acquisitions, en recrutement — à une époque où l'Europe n'avait pas encore décidé que la cybersécurité était un enjeu industriel.

Microsoft a racheté des dizaines de sociétés de sécurité depuis 2015. CrowdStrike a construit une plateforme de threat intelligence nourrie par des millions de capteurs déployés dans le monde entier. Palo Alto Networks a intégré l'IA dans son SOC au moment où la plupart des acteurs européens en discutaient encore en conférence. Cette avance n'est pas cosmétique — elle est réelle, mesurable, et elle se traduit par des taux de détection et des temps de réponse que peu d'acteurs européens peuvent aligner aujourd'hui sur l'ensemble du spectre des menaces.

Refuser de le reconnaître serait malhonnête. Mais accepter que cette avance légitime une dépendance totale serait une erreur stratégique de long terme — pour les entreprises comme pour les États.

Ce que ça change concrètement pour un DSI d'ETI en 2026

Prenons un cas concret. Vous dirigez la DSI d'une ETI industrielle de taille intermédiaire, quelques milliers de salariés, présente dans plusieurs pays européens. Vous avez déployé Microsoft 365 pour la productivité, vous utilisez Azure pour une partie de votre infrastructure, et votre prestataire de sécurité vous a recommandé Sentinel comme SIEM. Tout s'intègre bien. Les équipes sont formées.

Aujourd'hui, plusieurs questions se posent avec une acuité nouvelle :

Première question : qui voit quoi dans vos données de sécurité ? Votre MSP a accès à votre tenant Sentinel. Microsoft a accès aux métadonnées de votre tenant pour améliorer ses modèles. Si demain votre MSP est racheté par un acteur non européen, quelles données transitent avec la transaction ?

Deuxième question : quelle est votre capacité de sortie ? Avez-vous documenté votre architecture de manière à pouvoir migrer vers un autre SIEM sans perdre deux ans de règles de détection et de playbooks de réponse ? Dans la plupart des cas que j'ai vus, la réponse honnête est non.

Troisième question : votre stratégie de sécurité est-elle pilotée par vos besoins métier ou par la roadmap produit d'un éditeur américain ? C'est une question inconfortable, mais elle mérite d'être posée en CODIR.

Ce que l'Europe construit — lentement, mais réellement

L'Europe n'est pas sans réponse. Mais il faut être lucide sur l'état d'avancement.

Du côté des SIEM et SOC européens, des acteurs comme Sekoia.io — société française spécialisée dans la threat intelligence et les plateformes SOC — ont construit des offres sérieuses, pensées nativement pour les contraintes réglementaires européennes et capables de s'adresser à des ETI sans nécessiter une équipe de cinquante analystes. Leur modèle de threat intelligence collaborative mérite l'attention des DSI qui cherchent une alternative crédible à la dépendance aux flux de renseignement américains.

Du côté des identités et des accès — souvent le premier vecteur de compromission — des solutions comme celles portées par certains acteurs de l'IAM européen commencent à atteindre une maturité fonctionnelle suffisante pour des déploiements en production dans des environnements complexes.

Mais soyons clairs : le problème n'est pas qu'il n'existe pas d'alternatives européennes. Le problème est que l'écosystème de distribution, d'intégration et de support autour de ces alternatives n'a pas encore la profondeur de celui qui s'est constitué autour des acteurs américains. Un DSI d'ETI qui choisit une solution européenne doit souvent investir davantage en interne pour l'intégrer et la maintenir. C'est un coût réel, pas un argument commercial.

Des pistes de réflexion, pas un plan de migration

Il ne s'agit pas ici de vous dire d'arracher vos déploiements Microsoft demain matin. Ce serait irresponsable. Mais il y a plusieurs postures qui me semblent pertinentes à explorer, selon votre contexte.

Cartographiez vos dépendances de sécurité comme vous cartographiez vos risques. Qui traite vos logs ? Où résident vos règles de détection ? Quels acteurs ont accès à votre périmètre en cas d'incident ? Cette cartographie est souvent absente, et c'est le premier angle mort à combler.

Distinguez ce qui est négociable de ce qui ne l'est pas. Pour certaines fonctions — la messagerie, la bureautique — une dépendance à un acteur américain est gérable avec des clauses contractuelles adaptées. Pour d'autres — la détection d'intrusion sur vos systèmes industriels, la sécurité de vos données les plus sensibles — la question du droit applicable à la donnée n'est pas un détail.

Posez la question de la réversibilité à vos prestataires. Pas pour partir, mais pour comprendre votre marge de manœuvre. Un prestataire qui ne peut pas vous répondre clairement sur ce sujet vous dit quelque chose d'important sur la nature de la relation.

Participez aux initiatives de threat intelligence collectives européennes. Le partage de renseignement sur les menaces est l'un des vrais avantages compétitifs des grandes plateformes américaines. L'Europe construit des équivalents — les CSIRT nationaux, les réseaux sectoriels — mais ils ne fonctionnent bien que si les entreprises y contribuent activement.

Ce que Glasswing nous dit vraiment

Au fond, le concept de Glasswing pose une question plus large que la cybersécurité : est-ce que l'Europe veut être un marché ou un acteur ?

Être un marché, c'est acheter les meilleures solutions du monde, bénéficier des économies d'échelle mondiales, et accepter les conditions qui viennent avec. C'est rationnel à court terme. Être un acteur, c'est investir dans des capacités propres, accepter des coûts de transition temporaires, et construire une industrie de sécurité qui peut exporter ses standards plutôt que d'importer ceux des autres.

La NIS2, le Cyber Resilience Act, les initiatives de la Commission sur la certification des services cloud — tout cela construit progressivement un cadre. Mais un cadre réglementaire sans industrie pour le remplir reste une coquille vide.

Les DSI et CTO européens ne sont pas des décideurs politiques. Mais leurs choix d'achat, agrégés sur des milliers d'entreprises, constituent une politique industrielle de facto. C'est peut-être la chose la plus concrète que cet article peut vous laisser : la prochaine fois que vous évaluez une solution de sécurité, ajoutez une case dans votre grille d'analyse. Pas par patriotisme économique, mais par lucidité stratégique.

La transparence du piège, c'est précisément ce qui le rend difficile à éviter.