Glasswing et la cybersécurité mondiale : ce que l'Europe risque en jouant les spectateurs

# Glasswing et la cybersécurité mondiale : ce que l'Europe risque en jouant les spectateurs

Imaginez que le système immunitaire de votre infrastructure IT soit conçu, opéré et mis à jour depuis une juridiction étrangère, soumise à des lois que vous ne maîtrisez pas, par des équipes que vous ne pouvez pas auditer. C'est, en substance, la situation dans laquelle se trouvent des milliers de PME et ETI européennes en 2026. Glasswing — et plus largement l'écosystème de la cybersécurité dopée à l'IA dont il est emblématique — repose la question avec une acuité renouvelée : jusqu'où peut-on déléguer la sécurité de ses données à des acteurs extra-européens sans en payer le prix un jour ?

Ce qu'est Glasswing, et pourquoi ça compte

Glasswing Ventures est un fonds de capital-risque américain spécialisé dans la cybersécurité et l'intelligence artificielle. Il ne vend pas directement de produits aux entreprises européennes, mais il finance et structure une constellation de startups qui, elles, finissent par équiper des RSSI et des DSI du monde entier. Comprendre Glasswing, c'est comprendre comment se fabrique, aux États-Unis, la prochaine génération d'outils de sécurité qui atterriront dans vos appels d'offres d'ici dix-huit mois.

Ce qui a changé en 2025-2026, c'est l'accélération de l'intégration de l'IA dans les produits du portefeuille de ce type de fonds. Détection comportementale, réponse automatisée aux incidents, corrélation d'alertes à grande échelle : les fonctionnalités qui nécessitaient hier une équipe SOC expérimentée sont désormais packagées dans des plateformes SaaS qui apprennent, s'adaptent et décident — parfois sans intervention humaine explicite. L'efficacité est réelle. La dépendance qui en découle l'est tout autant.

Pour un DSI de PME ou d'ETI, le raisonnement est souvent pragmatique : ces outils fonctionnent, les équipes américaines innovent vite, et les alternatives européennes peinent à tenir le rythme sur certaines fonctionnalités. C'est un argument honnête. Mais il mérite d'être retourné.

Le vrai risque n'est pas technique, il est structurel

La question de la souveraineté en cybersécurité est souvent mal posée. On l'aborde sous l'angle du risque d'espionnage — les backdoors, le Cloud Act américain, les accès potentiels de la NSA. Ces risques existent, mais pour la majorité des ETI européennes, ce n'est pas là que le danger est le plus immédiat.

Le risque structurel est ailleurs. Il est dans la concentration de la chaîne de décision sécuritaire entre les mains d'un nombre restreint d'acteurs opérant sous droit américain. Concrètement :

La politique produit échappe à l'acheteur européen. Quand un éditeur basé à Boston décide de modifier son modèle de détection, de changer ses conditions de rétention des logs, ou de piviter vers un marché jugé plus rentable, vous l'apprenez via une note de release. Vous n'avez pas votre mot à dire. Votre sécurité suit les priorités commerciales d'un acteur dont les obligations légales sont américaines.

Les données d'entraînement des modèles posent une question réglementaire non résolue. Les outils de cybersécurité basés sur l'IA apprennent de vos incidents, de vos comportements réseau, de vos schémas d'attaque. Ces données alimentent des modèles mutualisés. Dans quel cadre juridique cela se passe-t-il exactement ? Le RGPD s'applique-t-il pleinement ? La réponse varie selon les contrats, et beaucoup de DSI que j'ai croisés récemment reconnaissent ne pas l'avoir lu dans le détail.

La résilience opérationnelle dépend d'infrastructures hors de votre contrôle. Si votre outil de détection principal est hébergé sur AWS us-east-1 et qu'une panne survient, ou pire, qu'une décision politique ou commerciale coupe l'accès au marché européen, que reste-t-il de votre capacité de réponse aux incidents ?

Ce n'est pas du catastrophisme. C'est une analyse de dépendance, le même exercice qu'on ferait pour n'importe quel fournisseur critique.

Ce que la réglementation européenne change — et ce qu'elle ne change pas

NIS2, DORA pour le secteur financier, le Cyber Resilience Act : le cadre réglementaire européen s'est densifié. Ces textes imposent des obligations concrètes sur la gestion des risques tiers, la notification des incidents, la résilience des systèmes. Ils constituent un levier, mais pas une solution.

NIS2, notamment, exige que les entités essentielles et importantes cartographient leurs dépendances vis-à-vis de prestataires tiers et évaluent les risques associés. Sur le papier, c'est exactement ce dont on parle. En pratique, beaucoup d'ETI en sont encore à la phase de mise en conformité basique, et la profondeur de l'analyse de la chaîne d'approvisionnement reste très variable.

Le règlement européen n'interdit pas de travailler avec des éditeurs américains — et il ne le devrait probablement pas. Mais il crée une obligation de lucidité. Savoir où sont vos données, qui y accède, sous quelle loi : ce n'est plus une option, c'est une exigence de conformité. Et dans ce cadre, l'usage d'outils dont la chaîne de traitement des données est opaque ou partiellement hors juridiction européenne devient un risque documenté, pas une simple inconfort.

L'écosystème européen existe. Il mérite qu'on lui pose les bonnes questions.

Dire que l'Europe n'a pas de réponse serait inexact. Des acteurs comme Sekoia.io (France) ou WithSecure (Finlande) ont construit des plateformes de détection et réponse aux incidents qui opèrent entièrement en juridiction européenne, avec des modèles de données conformes RGPD par design. Ce ne sont pas des alternatives de consolation : ce sont des outils professionnels, utilisés par des équipes SOC exigeantes.

La question n'est pas « sont-ils aussi bons que les américains ? » — cette formulation est un piège. La vraie question est : répondent-ils à votre besoin, dans votre contexte réglementaire, avec une chaîne de dépendance que vous comprenez et maîtrisez ?

Il faut aussi être honnête sur les limites. Sur certains segments très spécifiques — la threat intelligence à très grande échelle, certaines capacités d'analyse comportementale entraînées sur des volumes de données massifs — l'écart technologique existe encore. Ignorer cet écart serait intellectuellement malhonnête. Mais cet écart se réduit, et il doit être mis en regard du coût réel de la dépendance.

Ce que j'aurais envie de dire à un DSI autour d'un café

Premièrement, faites l'inventaire honnêtement. Listez vos outils de cybersécurité critiques et, pour chacun, demandez-vous : où sont les données traitées ? Sous quelle loi ? Que se passe-t-il si l'éditeur disparaît, est racheté, ou coupe l'accès au marché européen ? Ce n'est pas un exercice théorique, c'est de la gestion de risque fournisseur basique.

Deuxièmement, lisez vos contrats. Je sais que ça paraît évident. Mais le diable est dans les clauses de sous-traitance, les conditions d'utilisation des données pour l'amélioration du produit, les dispositions sur la rétention des logs. Beaucoup de contrats SaaS prévoient des carve-outs qui permettent à l'éditeur d'utiliser vos données d'incidents pour entraîner ses modèles. Est-ce que c'est acceptable pour vous ?

Troisièmement, challengez vos prestataires européens existants. Si vous avez déjà des outils d'origine européenne dans votre stack, prenez le temps d'évaluer s'ils couvrent des usages que vous externalisez encore vers des acteurs américains. Parfois, la réponse est non, et c'est ok. Parfois, vous découvrez que vous maintenez une dépendance par inertie plus que par nécessité.

Quatrièmement, participez à la construction de l'écosystème. Les appels d'offres des ETI et PME européennes ont un pouvoir de marché réel. Quand vous spécifiez explicitement des critères de souveraineté — hébergement en UE, conformité RGPD documentée, auditabilité — vous envoyez un signal à l'ensemble du marché. Ce n'est pas du protectionnisme, c'est de la définition de besoin.

La vraie question que Glasswing nous pose

Glasswing n'est pas un problème en soi. C'est un symptôme particulièrement lisible d'une dynamique plus large : la cybersécurité mondiale est en train de se reconfigurer autour de l'IA, et les centres de gravité technologiques et financiers de cette reconfiguration sont essentiellement américains et, dans une moindre mesure, israéliens et asiatiques.

L'Europe a les compétences humaines, le cadre réglementaire et, progressivement, les véhicules de financement pour exister dans ce paysage. Ce qui lui manque encore, c'est peut-être une conviction collective que la souveraineté en cybersécurité n'est pas un luxe idéologique, mais une condition de résilience opérationnelle.

La bonne nouvelle, c'est que cette conviction commence à s'installer — moins dans les discours politiques que dans les salles de crise des entreprises qui ont vécu de près ce que signifie dépendre d'un tiers pour gérer une crise de sécurité majeure.

La vraie question n'est pas « faut-il arrêter d'utiliser des outils américains ? » Elle est : savez-vous précisément de quoi vous dépendez, et avez-vous un plan B ? Si la réponse est non, c'est là que commence le travail.