Piratage de l'ANTS : ce que la dépendance aux fournisseurs US coûte vraiment à la souveraineté numérique européenne

# Piratage de l'ANTS : ce que la dépendance aux fournisseurs US coûte vraiment à la souveraineté numérique européenne

Une agence d'État française compromise. Des données de millions de citoyens potentiellement exposées. Et au cœur du post-mortem, une question qui revient comme un boomerang : qui contrôlait vraiment l'infrastructure ? L'incident de sécurité ayant touché l'Agence Nationale des Titres Sécurisés n'est pas qu'un fait divers cyber. C'est un révélateur brutal d'une dépendance structurelle que beaucoup de DSI connaissent, mais que peu ont encore vraiment adressée.

Ce qui s'est passé, et ce qu'on sait vraiment

Sans entrer dans des détails techniques qui restent partiellement opaques — comme c'est souvent le cas dans les incidents touchant des organismes publics — l'ANTS gère des données particulièrement sensibles : permis de conduire, passeports, immatriculations de véhicules. Son périmètre numérique est vaste, son exposition publique massive, et son architecture repose, comme celle de nombreuses administrations européennes, sur un empilement de solutions dont une part significative est opérée ou hébergée par des acteurs américains.

Ce n'est pas une accusation. C'est un constat partagé par quiconque a travaillé sur des projets d'infrastructure publique en Europe ces quinze dernières années. Le pragmatisme budgétaire, la maturité des offres, la disponibilité des compétences sur le marché : les raisons du recours aux grands fournisseurs US étaient souvent légitimes. Le problème, c'est que ces raisons ont progressivement construit une dépendance dont on ne mesure le coût réel qu'au moment où quelque chose casse.

La vraie question : qui a accès à quoi, et depuis où ?

Pour un DSI ou un CTO de PME/ETI, le réflexe immédiat après ce type d'incident est souvent de regarder ses propres pratiques de patch management, sa posture EDR, ses politiques de sauvegarde. C'est nécessaire. Mais ce n'est pas suffisant.

La question plus inconfortable est celle-ci : dans votre architecture actuelle, combien de fournisseurs ont un accès privilégié à vos données — accès de maintenance, accès pour le support, accès pour la facturation — et depuis quelles juridictions ces accès sont-ils exercés ?

Le Cloud Act américain de 2018 n'est pas une théorie complotiste. C'est une loi en vigueur qui permet aux autorités américaines, sous certaines conditions, d'accéder aux données stockées par des entreprises américaines, y compris hors du territoire américain. Les grands acteurs du cloud US ont mis en place des garde-fous contractuels et techniques — les engagements de confidentialité de Microsoft, les zones souveraines d'AWS ou de Google Cloud. Mais ces mécanismes reposent sur la bonne volonté des acteurs et sur des arrangements juridiques dont la solidité n'a pas encore été pleinement testée devant les tribunaux européens.

Ce n'est pas une raison de tout migrer demain matin. C'est une raison de savoir exactement où vous en êtes.

Ce que ça change concrètement pour les équipes IT européennes

Depuis l'entrée en vigueur de NIS2 et la montée en puissance de l'ENISA comme régulateur de référence, les obligations de documentation et de traçabilité des dépendances critiques se sont durcies. Un incident comme celui de l'ANTS va inévitablement alimenter les débats réglementaires en cours — et accélérer les exigences de cartographie des chaînes de dépendance pour les opérateurs d'importance vitale, mais aussi, par effet de ruissellement, pour leurs sous-traitants.

Autrement dit : même si vous êtes une ETI qui n'est pas directement soumise aux obligations NIS2 les plus strictes, vos clients grands comptes ou vos donneurs d'ordre publics vont vous demander de plus en plus précisément ce que vous faites avec leurs données, et qui peut y toucher.

Il y a aussi un enjeu de responsabilité juridique qui commence à se matérialiser. En cas de violation de données impliquant un sous-traitant américain, la CNIL n'a pas de prise directe sur cet acteur. La responsabilité remonte sur le responsable de traitement européen — c'est-à-dire vous. Les amendes RGPD, même si elles sont restées relativement modérées pour les PME jusqu'ici, ne sont pas les seuls risques : les recours civils de clients ou de partenaires lésés constituent un angle d'attaque croissant.

Trois réflexes à adopter, sans attendre un incident

Cartographier avant de choisir. Le problème de nombreuses architectures actuelles, c'est qu'elles se sont construites par couches successives, souvent par des équipes différentes, avec des fournisseurs différents. Résultat : personne n'a une vision exhaustive de qui traite quoi. Avant de parler de migration ou de remplacement, l'étape zéro est une cartographie de vos dépendances critiques — pas le schéma réseau habituel, mais une carte des flux de données et des accès tiers. Qui peut lire vos données de production ? Depuis quelle juridiction ? Sous quel régime légal ? Cet exercice est souvent désagréable. Il révèle des choses qu'on préférerait ne pas savoir. Mais c'est précisément pour ça qu'il est indispensable.

Distinguer ce qui est stratégique de ce qui ne l'est pas. La souveraineté numérique n'est pas un dogme. Il n'y a pas de sens à rapatrier en urgence votre outil de gestion des notes de frais sur une infrastructure souveraine si vos données métier critiques sont, elles, correctement protégées. Le risque, avec les injonctions à la souveraineté, c'est le saupoudrage : on met un hébergeur français ici, un logiciel européen là, mais les données vraiment sensibles continuent de circuler sans contrôle. La vraie discipline, c'est la priorisation. Quelles sont les données dont la compromission ou l'exposition vous mettrait en danger — légalement, opérationnellement, réputationnellement ? C'est là que vous concentrez l'effort de souveraineté.

**Contractualiser autrement.** Un contrat SaaS standard avec un éditeur américain vous donne rarement les garanties dont vous avez besoin en termes de localisation des données, de notification d'incident, ou d'accès pour audit. Ces points se négocient — pas toujours, et pas facilement avec les très grands acteurs, mais ils se négocient. Et quand ils ne se négocient pas, c'est une information en soi. Certains acteurs européens, comme Scaleway pour l'hébergement ou Oodrive pour la gestion documentaire en contexte sensible, ont construit leur positionnement précisément sur leur capacité à répondre à ces exigences contractuelles spécifiques — sans que ce soit une garantie absolue, mais avec un cadre légal plus favorable.

Le vrai débat : souveraineté ou sécurité ?

Un argument revient souvent dans les discussions entre DSI : les grands acteurs américains, avec leurs équipes sécurité de plusieurs milliers de personnes et leurs investissements massifs en R&D, offrent souvent un niveau de sécurité technique supérieur à ce qu'un acteur européen peut proposer à budget équivalent. C'est un argument sérieux, et il mérite d'être pris au sérieux.

Mais il confond deux questions distinctes. La sécurité technique — les pare-feux, les détections d'intrusion, les SOC — et la souveraineté juridique — qui peut légalement accéder à vos données sous quelles conditions — sont deux dimensions différentes. On peut avoir un hébergeur techniquement irréprochable mais dont les données sont accessibles à une juridiction étrangère. Et inversement, une infrastructure souveraine mal configurée peut être moins sécurisée qu'un service cloud américain bien géré.

L'incident ANTS illustre justement que la faille peut venir de n'importe où dans la chaîne — pas nécessairement du fournisseur lui-même, mais d'une interface mal sécurisée, d'une gestion des accès insuffisante, d'un angle mort dans la supervision. La souveraineté ne résout pas ces problèmes-là. Mais elle évite d'y ajouter une couche de vulnérabilité juridique et géopolitique que vous ne maîtrisez pas.

Ce que l'Europe construit — et ce que ça vaut

Depuis deux ans, le cadre réglementaire européen s'est densifié à un rythme que peu d'entreprises ont pu suivre sereinement : NIS2, DORA pour le secteur financier, le Data Act, le Cyber Resilience Act en cours de déploiement. Ces textes créent des obligations, mais ils créent aussi un marché. Des acteurs comme Outscale (filiale de Dassault Systèmes) ou 3DS Outscale ont obtenu la qualification SecNumCloud de l'ANSSI, qui reste à ce jour le niveau de certification le plus exigeant disponible en France pour l'hébergement de données sensibles.

Cela ne signifie pas que ces acteurs sont parfaits, ni que leur offre convient à tous les cas d'usage. Mais le label existe, les critères sont publics, et il donne aux DSI un point d'ancrage pour justifier des choix d'architecture auprès de leur direction ou de leurs actionnaires.

Le vrai défi pour les années qui viennent n'est pas de choisir entre sécurité et souveraineté, ni entre pragmatisme et idéologie. C'est de construire une gouvernance de données qui soit à la fois robuste techniquement, défendable juridiquement, et réaliste opérationnellement. Ce n'est pas un projet de quelques semaines. Mais après l'ANTS, après les incidents qui l'ont précédé et ceux qui suivront, la question n'est plus de savoir si c'est nécessaire.

Elle est de savoir par où commencer.

*Cet article s'appuie sur des informations publiques disponibles au moment de sa rédaction. Les détails techniques de l'incident ANTS restant partiellement non divulgués, l'analyse porte sur les enjeux structurels qu'il révèle plutôt que sur ses modalités spécifiques.*