MOCA sans Microsoft : quand un géant lâche la main, l'Europe doit savoir où poser la sienne

# MOCA sans Microsoft : quand un géant lâche la main, l'Europe doit savoir où poser la sienne

*Par la rédaction RiffLab Media — Analyse éditoriale*

La nouvelle a circulé discrètement dans les couloirs du secteur : MOCA, l'un des opérateurs de services numériques dont la trajectoire était jusqu'ici étroitement liée aux briques technologiques de l'acteur américain dominant, amorce un détachement partiel de l'écosystème Microsoft. Pas un coup de théâtre. Pas une révolution. Mais un signal. Et les signaux, en 2026, méritent qu'on les lise avec précision — surtout quand ils concernent la dépendance structurelle des organisations européennes à l'égard d'infrastructures dont le centre de gravité juridique et commercial se trouve à Redmond, Washington.

Suis-je en train de célébrer ce mouvement ? Non. Je suis en train de l'analyser froidement. Parce que se détacher d'un acteur américain n'est pas, en soi, une garantie de souveraineté. C'est une condition nécessaire. Jamais suffisante.

Ce que signifie vraiment « se détacher » dans un écosystème verrouillé

Avant d'aller plus loin, il faut nommer le problème structurel. Pendant des années — et c'est vrai pour MOCA comme pour des centaines d'organisations européennes similaires —, la dépendance à un acteur américain ne s'est pas construite en un jour ni sur une décision unique. Elle s'est sédimentée couche par couche : les outils de messagerie d'abord, puis la bureautique, puis la gestion des identités, puis le stockage, puis l'infrastructure cloud, et enfin — phase ultime de l'enfermement — les couches d'intelligence artificielle générative intégrées directement dans les flux de travail quotidiens.

Ce que les fournisseurs américains ont réussi à faire, et qu'il faut reconnaître comme une performance commerciale redoutable, c'est transformer chaque service en point d'ancrage du suivant. L'interopérabilité devient une promesse interne à l'écosystème, jamais une ouverture vers l'extérieur. Résultat : « se détacher » ne signifie pas simplement changer de logiciel. Cela signifie démêler des années de dépendances techniques, de formats propriétaires, de flux d'authentification centralisés et de données qui ont migré — parfois sans que les équipes techniques locales en aient pleinement conscience — vers des datacenters soumis au droit américain.

Le Cloud Act de 2018 n'est pas une abstraction juridique pour DSI européens avertis. C'est une réalité opérationnelle : les autorités américaines peuvent légalement exiger l'accès aux données hébergées par des opérateurs américains, y compris sur des serveurs situés en Europe. Ni le RGPD, ni les clauses contractuelles types ne constituent un bouclier absolu contre cette extraterritorialité. Quand MOCA dit vouloir réduire son exposition à Microsoft, la vraie question n'est pas technique. Elle est juridique : vers quel régime de droit migre-t-elle ses données sensibles ?

NIS2, DORA, RGPD : le cadre réglementaire européen comme boussole — et comme contrainte

Nous sommes en 2026. Le paysage réglementaire européen a considérablement durci depuis l'adoption de NIS2 et l'entrée en vigueur pleine de DORA pour le secteur financier. Ces deux textes ont une chose en commun que l'on ne dit pas assez clairement dans les analyses mainstream : ils rendent juridiquement risquée la sous-traitance aveugle à des tiers dont la chaîne de responsabilité sort du périmètre européen.

NIS2 impose aux entités dites « essentielles » et « importantes » de cartographier leurs dépendances envers des tiers, d'évaluer les risques liés à leur chaîne d'approvisionnement numérique, et de démontrer leur capacité à maintenir la continuité de leurs services en cas de défaillance — ou de coupure unilatérale — d'un fournisseur. Que se passe-t-il si un acteur américain décide, pour des raisons géopolitiques, commerciales ou réglementaires américaines, de modifier unilatéralement ses conditions de service, de restreindre l'accès à certains territoires, ou de faire évoluer son modèle de tarification ? C'est arrivé. Ce n'est pas de la science-fiction.

DORA, de son côté, impose aux entités financières une gestion des risques liés aux tiers technologiques qui va bien au-delà d'une simple due diligence contractuelle. Les tests de résilience opérationnelle, les plans de sortie, les scénarios de défaillance critique d'un fournisseur — tout cela doit être documenté, testé, validé. Dans ce contexte, une organisation comme MOCA qui réduit sa dépendance à un opérateur américain dominant ne fait pas que suivre une intuition stratégique. Elle s'aligne, peut-être malgré elle, avec les exigences croissantes du cadre réglementaire européen.

Mais — et c'est là où je refuse d'être complaisant — ce détachement ne vaut quelque chose que si la destination est à la hauteur des exigences. Remplacer une dépendance américaine par une autre dépendance, qu'elle soit asiatique ou simplement moins visible, ne constitue pas une réponse à NIS2. Ce n'est pas une migration vers la souveraineté. C'est un déménagement.

Le vrai test : vers quoi MOCA se tourne-t-elle ?

Voilà la question que tout RSSI européen devrait poser immédiatement à ses fournisseurs en transition. La rhétorique de la « sortie Microsoft » peut masquer des réalités très différentes.

Premier scénario possible : MOCA migre vers un autre acteur américain — disons un opérateur cloud concurrent dont la proposition commerciale est séduisante. Le problème de fond reste entier. Le Cloud Act s'applique toujours. La dépendance change de logo, pas de nature juridique.

Deuxième scénario : MOCA fait le choix d'une infrastructure souveraine européenne, portée par des opérateurs dont les capitaux, les serveurs et la chaîne décisionnelle restent soumis au droit européen. C'est ici que la notion de souveraineté numérique prend un sens opérationnel. Des acteurs comme Scaleway — filiale du groupe Iliad, capital français, infrastructure européenne — ou encore des plateformes de collaboration développées sous licences ouvertes et hébergées sur sol européen commencent à proposer des alternatives crédibles pour les couches critiques du SI. Je cite Scaleway non pas pour en faire la promotion, mais parce qu'il illustre ce que signifie concrètement une alternative souveraine : un ancrage juridictionnel clair, une politique de données compatible avec le RGPD par construction, et une absence d'exposition au droit américain.

Troisième scénario, le plus complexe : MOCA opère une migration hybride, conservant certaines briques américaines pour des usages non critiques et rapatriant les données sensibles vers des environnements souverains. C'est souvent la réalité opérationnelle des grandes migrations. C'est aussi le terrain le plus glissant pour la conformité. Définir ce qui est « non critique » est un exercice à haut risque quand NIS2 demande une cartographie exhaustive et quand le RGPD ne fait pas de distinction entre données « importantes » et données « vraiment importantes ».

Je pense — et j'assume cette position — que le troisième scénario est une étape transitoire acceptable, à condition qu'il soit accompagné d'un plan de sortie documenté, daté, et opposable en interne. Une migration partielle sans trajectoire définie est une dépendance en cours de rationalisation, pas une souveraineté en cours de construction.

Cybersécurité : le détachement comme surface d'attaque temporaire

Il y a un angle que les discours sur la souveraineté numérique négligent trop souvent, et qui devrait occuper le premier rang des préoccupations des RSSI : la période de transition elle-même est une fenêtre de vulnérabilité.

Toute migration technologique significative génère une phase de coexistence entre ancien et nouveau système. Des connecteurs sont ouverts, des droits d'accès temporaires sont accordés, des passerelles sont créées pour assurer la continuité de service. C'est précisément durant ces phases que les acteurs malveillants — qu'ils soient opportunistes ou étatiques — cherchent à s'engouffrer. Les incidents de sécurité majeurs de ces dernières années, dans des contextes de migration cloud, l'ont amplement démontré : ce ne sont pas les systèmes stables qui tombent, ce sont les systèmes en mouvement.

Un RSSI qui pilote ou accompagne une organisation en transition doit donc traiter cette période avec une rigueur accrue sur plusieurs fronts : la gestion des accès temporaires (moindre privilège absolu, révocation automatique à date définie), l'audit des flux de données pendant la coexistence des deux environnements, et la documentation des configurations intermédiaires — souvent bâclée dans l'urgence d'une migration.

Par ailleurs, le détachement d'un écosystème aussi intégré que celui de l'acteur américain dominant pose une question concrète sur la détection des menaces. Les outils de sécurité — SIEM, EDR, solutions de gestion des identités — sont souvent eux aussi intégrés dans l'écosystème que l'on cherche à quitter. Migrer l'infrastructure sans migrer simultanément les outils de sécurité crée des angles morts. Et migrer les deux en même temps exige des ressources humaines et financières que beaucoup de PME et d'ETI n'ont pas en stock.

C'est là où la question de l'accompagnement devient stratégique. Les ESN et intégrateurs européens capables de piloter ces transitions complexes en maintenant le niveau de posture cybersécurité sont une ressource rare. Ils méritent d'être identifiés, qualifiés et soutenus — bien avant que la migration soit décidée.

Accélérateur ou mirage : ce que l'Europe devrait exiger de ce cas

Revenons à la question posée dans le titre. Le détachement de MOCA vis-à-vis de Microsoft est-il un accélérateur ou un mirage pour l'indépendance technologique européenne ?

Honnêtement : les deux, selon ce qu'on en fait.

C'est un accélérateur si — et seulement si — ce mouvement s'inscrit dans une trajectoire documentée vers des alternatives souveraines européennes, si les équipes techniques et juridiques traitent la conformité réglementaire comme un guide de décision et non comme une contrainte administrative, et si la période de transition est pilotée avec la rigueur d'un exercice de cybersécurité à risque élevé.

C'est un mirage si le détachement de l'acteur américain dominant se conclut par un transfert de dépendance vers un autre acteur dont la juridiction reste hors du périmètre européen, ou si l'organisation se retrouve dans une zone grise hybride sans plan de sortie formalisé.

Mais au fond, ce qui m'importe dans ce cas MOCA, c'est moins la décision elle-même que ce qu'elle révèle d'un mouvement plus large. En 2026, des organisations européennes commencent à se poser sérieusement la question de leur exposition au droit américain. Ce n'est plus une conversation de DSI militants ou de juristes spécialisés. C'est une conversation de conseil d'administration, poussée par la réglementation, par les audits, et par une prise de conscience géopolitique qui a mis du temps à mûrir mais qui, une fois mûre, change la nature des appels d'offres.

Il faut que les acteurs européens — industriels, éditeurs, opérateurs, régulateurs — soient prêts à recevoir cette demande avec des réponses à la hauteur. Pas des démos. Pas des roadmaps. Des services stables, documentés, certifiés, et capables d'absorber des migrations complexes sans laisser les organisations dans une vulnérabilité accrue.

Le détachement de MOCA est une opportunité pour l'écosystème numérique européen. Mais une opportunité ne se transforme en réalité que si quelqu'un est là pour la saisir avec compétence. L'Europe a les textes réglementaires. Elle a quelques acteurs crédibles. Ce qu'il lui reste à construire, c'est la confiance opérationnelle — celle qui se gagne migration après migration, incident après incident, audit après audit.

Ça commence maintenant. Et chaque MOCA qui passe à l'acte est un test grandeur nature que nous ne pouvons pas nous permettre de rater.

*RiffLab Media est un média B2B indépendant européen. Cette analyse engage la rédaction et ne constitue pas un conseil juridique ou technique.*