Puces sous tension : le réveil tardif d'une ETI qui croyait avoir externalisé le risque

# Puces sous tension : le réveil tardif d'une ETI qui croyait avoir externalisé le risque

Il y a des angles morts que l'on entretient par confort intellectuel. La dépendance aux semiconducteurs en est un. Pendant des années, la question de l'approvisionnement en puces a été traitée comme un problème de supply chain, donc de direction des achats. Pas de la DSI. Pas du RSSI. Pas du CTO. Ce découpage a coûté cher à une ETI industrielle de 800 salariés que nous avons suivie sur plusieurs mois en 2025 et début 2026. Son cas n'est pas exceptionnel. Il est représentatif d'une vulnérabilité systémique que la majorité des directions informatiques européennes n'ont pas encore cartographiée.

La chaîne invisible que personne ne possède

L'entreprise fabrique des équipements de précision pour l'industrie manufacturière. Elle n'est pas dans la tech. Mais son SI est profondément imbriqué dans des automates, des capteurs, des cartes embarquées — autant de composants dont la fabrication dépend de semiconducteurs produits hors d'Europe, sur des équipements en grande partie fournis par un seul acteur mondial de la lithographie, ASML, dont les machines EUV les plus avancées ne sortent que d'un seul site de production, à Eindhoven.

ASML est européen. C'est un fait, et un fait dont l'Europe a le droit d'être fière. Mais la chaîne ne s'arrête pas là. Les puces que ces machines fabriquent sont majoritairement produites à Taïwan, en Corée du Sud, aux États-Unis. Et leur architecture, leurs drivers, leurs firmwares embarqués, leurs certifications — tout cela engage des écosystèmes logiciels dont les conditions d'utilisation sont rédigées à Santa Clara, pas à Bruxelles.

La DSI de cette ETI l'a compris en recevant, sans préavis opérationnel suffisant, une notification de fin de support sur un composant critique intégré dans ses lignes de production. Le fabricant américain du composant — non nommé ici, non pertinent à nommer, car ce n'est pas un cas isolé — invoquait une clause standard de son contrat de licence pour le firmware embarqué. Clause que personne n'avait lue. Clause que personne dans l'entreprise n'était désigné pour lire.

Ce que le contrat dit vraiment

C'est là que le retour terrain devient instructif. En reconstituant la chaîne contractuelle avec leur conseil juridique, les équipes de cette ETI ont découvert plusieurs niveaux de dépendance superposés.

Premier niveau : le contrat d'achat du matériel. Classique, bien maîtrisé. On achète une carte, on reçoit une carte.

Deuxième niveau : la licence du firmware embarqué. Moins classique. Ce firmware — qui pilote le composant, gère ses communications avec le reste du SI, assure les mises à jour de sécurité — est concédé sous licence, pas vendu. Sa continuité dépend du bon vouloir et de la pérennité commerciale de l'éditeur américain. En cas de fin de support, de rachat, de retrait du marché européen pour des raisons réglementaires ou géopolitiques, l'ETI n'a aucun recours contractuel.

Troisième niveau : les dépendances cloud du firmware. Pour valider les mises à jour, certaines versions du composant appellent des serveurs d'authentification hébergés aux États-Unis. Coupez l'accès à ces serveurs — par sanction, par incident, par simple changement de politique commerciale — et le composant cesse de fonctionner en mode certifié. Ce n'est pas un scénario théorique. C'est ce qui s'est approché dangereusement lors de la reconfiguration des politiques d'exportation américaines en 2025.

La DSI rattrapée par l'OT

Ce qui rend ce cas particulièrement éclairant, c'est la fracture organisationnelle qu'il révèle. Dans la plupart des ETI industrielles européennes, la frontière IT/OT (technologies de l'information / technologies opérationnelles) est une frontière de responsabilité autant que de système. La DSI gère les serveurs, les postes, les applicatifs métier. L'OT — les automates, les capteurs, les cartes embarquées — relève de la direction industrielle ou de la maintenance.

Résultat : personne ne fait la cartographie complète. Les actifs OT n'apparaissent pas dans le registre des actifs IT. Leurs dépendances logicielles ne sont pas auditées. Leurs contrats de licence ne sont pas revus au même rythme que les contrats SaaS. Et quand une notification de fin de support arrive, elle arrive au service achats, pas à la DSI.

Le RSSI de cette ETI a été clair dans son témoignage : « On aurait dû cartographier cette dépendance au même titre qu'une dépendance cloud. On ne l'a pas fait parce qu'on voyait ça comme du hardware. Mais c'était du software embarqué, avec des conditions d'utilisation extraterritoriales. »

Cette prise de conscience a conduit à lancer un audit transverse IT/OT, le premier de l'histoire de l'entreprise, couvrant l'ensemble des composants embarquant un firmware sous licence tierce. Le résultat a été édifiant : une proportion significative de leurs équipements critiques embarquait des logiciels dont le support était localisé hors UE, sans clause de continuité négociée, sans escrow du code source.

Ce que cela change pour les décisions d'achat futures

La leçon opérationnelle que cette ETI en a tirée n'est pas de tout remplacer — ce serait impraticable et financièrement déraisonnable. Elle est de poser des questions différentes en amont de chaque décision d'achat impliquant un composant embarqué.

Où est hébergé le service d'authentification du firmware ? Existe-t-il une version du firmware utilisable en mode déconnecté, sans dépendance à un serveur hors UE ? Qui détient le code source en cas de défaillance de l'éditeur ? Le contrat prévoit-il un mécanisme d'escrow ? L'éditeur est-il soumis au Cloud Act ou à une législation extraterritoriale susceptible d'affecter la continuité du service ?

Ces questions, une direction des achats classique ne les pose pas. Un service technique ne les pose pas non plus, sauf formation spécifique. Elles relèvent d'une posture de DSI ou de RSSI informé des enjeux de souveraineté numérique — posture encore minoritaire dans les ETI européennes de cette taille.

Le rôle ambigu d'ASML dans l'équation souverainiste

Il serait inexact de placer ASML dans le camp des problèmes. L'entreprise néerlandaise est une réussite industrielle européenne majeure, et son rôle dans la chaîne mondiale des semiconducteurs lui confère une forme de levier géopolitique réel — comme l'ont montré les tensions autour des restrictions d'exportation vers certains marchés asiatiques.

Mais précisément parce qu'ASML est un acteur critique mondial, il concentre sur lui des pressions extraterritoriales considérables. Les États-Unis exercent une influence structurelle sur les décisions d'exportation de l'entreprise, au nom du contrôle des technologies duales. Ce n'est pas une critique d'ASML : c'est la réalité du contexte géopolitique dans lequel opère le seul fabricant mondial de machines EUV.

Pour les DSI européens, cela signifie que même la chaîne d'approvisionnement qui passe par un acteur européen n'est pas immunisée contre les décisions de politique étrangère américaine. La souveraineté technologique ne se mesure pas à la nationalité d'un maillon, mais à la robustesse de l'ensemble de la chaîne face à des chocs exogènes.

Conclusions transférables

Ce retour terrain livre quatre enseignements applicables immédiatement par toute DSI d'ETI industrielle européenne.

Étendre le périmètre d'audit aux actifs OT. Tout composant embarquant un firmware sous licence tierce est un actif logiciel, quelle que soit sa forme physique. Il doit apparaître dans le registre des dépendances logicielles, avec son niveau de criticité et ses conditions contractuelles.

Traiter les licences de firmware comme des contrats SaaS. Les mêmes questions de localisation des données, de continuité de service, d'extraterritorialité juridique s'appliquent. La revue contractuelle doit être systématique.

Cartographier les dépendances cloud cachées. Un composant hardware peut embarquer une dépendance réseau vers un service hors UE. Cette dépendance est un risque opérationnel et réglementaire qu'il faut identifier et qualifier.

Intégrer la question de souveraineté dès la phase d'achat. Pas en post-achat, pas lors de l'audit de sécurité. Dès la rédaction du cahier des charges. La question « ce composant crée-t-il une dépendance extraterritoriale non maîtrisée ? » doit devenir un critère d'évaluation au même titre que le prix ou les performances techniques.

La crise des semiconducteurs de 2020-2022 avait révélé la fragilité des chaînes d'approvisionnement physiques. Ce que ce cas illustre en 2026, c'est que la fragilité s'est déplacée : elle est désormais logicielle, contractuelle, et invisible aux yeux de qui ne cherche pas à la voir.