« Oracle nous force la main — et c'est peut-être la meilleure chose qui pouvait arriver à nos équipes »

# « Oracle nous force la main — et c'est peut-être la meilleure chose qui pouvait arriver à nos équipes »

*En 2026, Oracle a durci sa politique de mise à jour sécurité : cycles plus courts, exigences de conformité renforcées, pression accrue sur les clients qui traînent les pieds. Pour beaucoup de DSI européens, c'est une contrainte de plus venue d'outre-Atlantique. Pour d'autres, c'est le signal qu'il fallait pour remettre une vraie question sur la table : dépend-on encore trop d'un acteur américain sur des briques critiques ? Nous avons échangé avec un DSI d'une ETI industrielle française de taille intermédiaire, qui gère un SI historiquement bâti autour des offres de l'éditeur texan.*

RiffLab : Oracle vient de renforcer ses cycles de mise à jour sécurité. Première réaction ?

Franchement ? De la fatigue, d'abord. Et puis, en y réfléchissant, quelque chose qui ressemble à du soulagement. La fatigue, c'est celle de toute mon équipe face à une cadence imposée de l'extérieur, sans réelle concertation, sans tenir compte des réalités opérationnelles d'une ETI qui n'a pas les mêmes ressources qu'une grande banque américaine. Quand un éditeur californien décide unilatéralement que vous devez patcher en urgence des environnements critiques, ça mobilise des gens, ça crée des fenêtres de risque, ça coûte — en temps, en stress, en argent.

Mais le soulagement vient du fait que cette pression force enfin une conversation qu'on repoussait depuis des années dans notre COMEX : est-ce qu'on a vraiment envie de rester dans cette situation de dépendance structurelle à très long terme ?

RiffLab : Cette dépendance, elle est profonde chez vous ?

Oui, et c'est le problème. Ce n'est pas une dépendance qu'on a choisie un matin en claquant des doigts. C'est le résultat de vingt ans de décisions rationnelles à court terme, empilement de licences, intégrations successives, compétences internes formées sur ces outils. Aujourd'hui, extraire Oracle de certaines couches de notre SI, c'est chirurgical. Ce n'est pas impossible, mais ça se planifie sur dix-huit à trente-six mois minimum.

Ce que je reproche à notre secteur, et à moi-même d'ailleurs, c'est d'avoir considéré pendant trop longtemps que la sécurité d'un SI se mesurait uniquement à sa robustesse technique. On a oublié une autre forme de sécurité : la sécurité de la chaîne de décision. Qui décide des mises à jour ? Qui fixe les conditions de licence ? Qui peut modifier les CGU du jour au lendemain ? Aujourd'hui, ce n'est pas moi. C'est Austin, Texas.

RiffLab : Concrètement, est-ce que ce durcissement d'Oracle ouvre une fenêtre pour des alternatives européennes ?

Je pense que oui, et je le dis avec une conviction qui s'est construite sur le terrain, pas dans un livre blanc. Chaque fois qu'un acteur américain dominant serre la vis — que ce soit sur la sécurité, sur les prix, sur les conditions contractuelles — il crée mécaniquement un moment de remise en question chez ses clients. Et ce moment, si les acteurs européens ne le saisissent pas, il passe. Il se referme.

Ce que j'observe en 2026, c'est que des éditeurs européens ont gagné en maturité sur des briques qui étaient encore fragiles il y a quatre ou cinq ans. Je pense notamment à ce qui se passe du côté des bases de données relationnelles et de la couche middleware en Europe — des acteurs comme Dalibo, qui pousse une expertise souveraine autour de PostgreSQL, montrent qu'on peut construire une alternative sérieuse, documentée, auditée. Ce n'est pas le même modèle qu'Oracle, mais pour un nombre croissant de cas d'usage dans mon SI, c'est suffisant. Et surtout, c'est auditable. Je sais qui je paie, je sais où sont mes données, je sais que les règles ne vont pas changer selon les intérêts d'un actionnaire à San Francisco.

RiffLab : Mais les équipes suivent-elles ? Le changement de culture interne, c'est souvent le vrai obstacle.

C'est LE sujet. Et je ne vais pas vous mentir : c'est difficile. Mes équipes ont été formées sur des certifications Oracle, elles pensent en termes d'outils Oracle, elles ont leurs réflexes, leurs communautés, leurs forums. Demander à quelqu'un qui maîtrise un écosystème de vingt ans de basculer sur autre chose, c'est une demande de déstabilisation professionnelle réelle.

Mais voilà ce que j'ai dit à mes équipes : la souveraineté numérique, ce n'est pas un sujet politique abstrait que des gens en costume débattent à Bruxelles. C'est ce qui détermine si, dans dix ans, vous avez encore un emploi qualifié en Europe sur ces sujets, ou si vous êtes devenus des opérateurs de maintenance d'une infrastructure dont toute la valeur intellectuelle s'est évaporée outre-Atlantique. Quand on pose la question sous cet angle-là, les conversations changent de nature.

J'ai aussi fait quelque chose de très concret : j'ai libéré du temps. Un DSI qui dit « migrez vers souverain » sans donner du temps, de la formation, des expérimentations protégées, c'est un DSI qui échoue. On a créé une cellule d'exploration dédiée, avec une tolérance explicite au droit à l'erreur. C'est là que ça se joue.

RiffLab : À l'échelle européenne, est-ce que vous voyez une dynamique collective se structurer, ou chaque entreprise reste isolée dans ses arbitrages ?

Les deux à la fois, et c'est là que je veux être honnête sur ce qui manque encore. Il existe des dynamiques positives — les consortiums sectoriels, certains clusters industriels régionaux, des initiatives portées par des organisations comme CISPE côté cloud, ou des réseaux de DSI qui commencent à mutualiser leurs retours d'expérience sur les migrations souveraines. Ce n'est plus zéro.

Mais il manque encore une coordination industrielle à l'échelle européenne qui soit véritablement outillée et non seulement déclarative. Il manque un équivalent européen de ce que les États-Unis font naturellement : orienter les commandes publiques, créer des références de marché, certifier des socles techniques. Quand une collectivité locale française ou une PME allemande cherche une alternative souveraine à Oracle, elle ne devrait pas avoir à réinventer le chemin seule. Il devrait exister une carte, un label de confiance, un contrat-type. On n'est pas encore là.

Ce que fait Oracle en serrant ses politiques de sécurité, c'est nous rappeler que la dépendance est systémique. La réponse doit donc être systémique, elle aussi.

RiffLab : Si vous deviez donner un message direct aux DSI européens qui lisent cet entretien, ce serait lequel ?

Ne laissez pas un audit de conformité Oracle décider de votre feuille de route SI. C'est vous qui devez décider. Et si vous n'avez pas encore lancé ce chantier de cartographie critique de vos dépendances américaines — pas uniquement Oracle, mais dans l'ensemble — faites-le maintenant. Pas l'année prochaine. Maintenant.

Je pense que nous avons une fenêtre historique. Les alternatives européennes existent, elles mûrissent vite, les financements publics suivent, la demande est là. Ce qui manque parfois, c'est la décision politique interne de dire : on embarque. Chaque ETI européenne qui reste passive renforce la position dominante des acteurs américains. Chaque ETI qui s'engage dans une trajectoire souveraine, même partielle, même imparfaite, envoie un signal de marché que les éditeurs européens ont besoin pour investir, recruter, se structurer.

Nous ne gagnerons pas cette bataille technologique par des discours. Nous la gagnerons par des bons de commande.

*Entretien réalisé dans le cadre de notre série « Souveraineté ou dépendance : les DSI européens choisissent leur camp ».*