RuNet : ce que l'expérience russe apprend vraiment sur les risques d'une rupture technologique souveraine

# RuNet : ce que l'expérience russe apprend vraiment sur les risques d'une rupture technologique souveraine

Depuis 2022, la Russie a mené en conditions réelles l'expérience que certains décideurs européens imaginent encore comme un horizon lointain et théorique : couper — ou du moins tenter de couper — ses infrastructures numériques du reste du monde. Le résultat est à la fois plus instructif et plus nuancé que ce que les deux camps du débat souverainiste veulent bien admettre. Ni le chaos total prédit par les uns, ni la démonstration de faisabilité que célèbrent les autres.

En 2026, alors que le débat sur l'autonomie stratégique numérique de l'Europe s'est durci — entre CLOUD Act, dépendances aux hyperscalers américains, et montée en puissance des fournisseurs chinois — l'exemple russe mérite d'être regardé en face, sans idéologie.

Ce que le RuNet est, et ce qu'il n'est pas

Depuis la loi sur le « RuNet souverain » adoptée en 2019, la Russie a progressivement doté ses opérateurs d'équipements capables de filtrer et, en théorie, d'isoler le trafic internet national du réseau mondial. L'ambition affichée : maintenir un internet fonctionnel sur le territoire russe même en cas de déconnexion forcée de l'extérieur.

En pratique, les sanctions technologiques massives déclenchées après l'invasion de l'Ukraine en 2022 ont constitué un test involontaire. Microsoft a suspendu ses ventes. Oracle s'est retiré. SAP a gelé ses contrats. Des dizaines d'éditeurs SaaS ont désactivé les comptes russes en quelques semaines.

La réalité observée depuis lors est instructive : le réseau internet russe ne s'est pas effondré. Les Russes utilisent encore YouTube — même si Moscou menace régulièrement de le bloquer —, des VPN en masse, et une infrastructure domestique qui tient. En revanche, sur le plan applicatif et logiciel, la rupture a été brutale et les substitutions, souvent douloureuses.

C'est précisément ce décalage entre la couche infrastructure et la couche applicative qui devrait retenir l'attention des DSI européens.

La leçon que l'on ne tire pas assez

On parle souvent de souveraineté numérique comme si c'était un bloc monolithique. L'expérience russe montre que ce n'est pas le cas. Il y a en réalité plusieurs strates d'indépendance, qui n'avancent pas à la même vitesse et n'ont pas les mêmes coûts de rupture.

La couche infrastructure — routage, DNS, points d'échange — peut être partiellement nationalisée ou régionalisée avec des investissements lourds mais techniquement faisables. La Russie l'a fait, imparfaitement, mais elle l'a fait. L'Europe dispose déjà d'une infrastructure réseau robuste et distribuée, avec des acteurs comme DE-CIX à Francfort qui constituent des nœuds d'échange critiques. Ce n'est pas là que le risque principal réside.

La couche middleware et données — bases de données, systèmes d'exploitation, middleware d'entreprise — est beaucoup plus délicate. Les entreprises russes qui dépendaient d'Oracle Database ou de solutions Microsoft ont découvert que la migration forcée ne se fait pas en quelques mois. Certaines sont encore en train de gérer des systèmes sous licence non renouvelable, avec des rustines et des solutions alternatives qui ne couvrent pas toutes les fonctionnalités.

La couche applicative métier — ERP, CRM, outils collaboratifs — est là où la douleur a été la plus visible et la plus durable. Remplacer SAP n'est pas une décision, c'est un projet de plusieurs années, même quand on a le choix entre plusieurs alternatives.

Pour un DSI européen, la question n'est donc pas « est-ce qu'une rupture est possible ? » mais « sur quelle strate sommes-nous le plus exposés, et dans quel délai serions-nous capables de nous adapter si le contexte changeait brutalement ? »

Pourquoi l'Europe n'est pas la Russie — et pourquoi ça ne règle pas tout

Il faut être honnête sur les différences de contexte. La Russie a subi une rupture imposée de l'extérieur, sous la forme de sanctions politiquement coordonnées. Le scénario européen qui préoccupe les décideurs est différent : il s'agit moins d'un blocage frontal que d'une dépendance structurelle qui réduit les marges de manœuvre dans la durée.

Le CLOUD Act américain, qui permet aux autorités américaines de requérir des données hébergées par des entreprises américaines quel que soit le pays d'hébergement, n'est pas une sanction. C'est une législation permanente. La décision du gouvernement fédéral américain de restreindre l'accès à certaines technologies d'IA en 2024 et 2025 rappelle que les dépendances technologiques ont une dimension géopolitique qui ne se négocie pas dans un contrat de service.

Ce que l'exemple russe illustre ici, c'est la différence entre une dépendance qu'on choisit et une dépendance qui se révèle le jour où elle devient contraignante. Les DSI russes qui avaient travaillé à réduire leur exposition aux éditeurs étrangers — et il y en avait, notamment dans les banques et le secteur de l'énergie — ont géré la crise de 2022 de manière incomparablement plus fluide que ceux qui avaient optimisé pour le coût à court terme.

Ce que les décideurs européens peuvent concrètement en retirer

Première réflexion utile : faites l'audit de vos points de rupture réels, pas théoriques. Pas un audit de conformité, mais un exercice honnête du type « si mon fournisseur principal devenait indisponible dans 90 jours, qu'est-ce qui s'arrêterait dans mon organisation, et dans quel ordre ? ». Les entreprises russes qui ont répondu à cette question avant 2022 avaient une longueur d'avance. Ce n'est pas de la paranoïa, c'est de la gestion du risque de continuité.

Deuxième réflexion : la portabilité des données n'est pas un sujet technique, c'est un sujet contractuel. L'une des difficultés majeures rencontrées par les organisations russes n'était pas toujours l'absence d'alternative logicielle, mais l'impossibilité d'extraire leurs données dans un format exploitable depuis le système en place. Quelques éditeurs SaaS ont pratiqué ce que certains juristes appellent la « rétention par le format ». Vérifiez dans vos contrats actuels ce que vous avez réellement le droit de faire avec vos données si vous décidez de partir — ou si on décide pour vous.

Troisième point, plus délicat : l'argument du coût de la souveraineté mérite d'être posé différemment. La question n'est pas « combien coûte une alternative européenne par rapport à la solution américaine dominante ? » mais « quel est le coût de l'optionalité — c'est-à-dire le prix à payer maintenant pour ne pas être bloqué demain ? ». C'est une logique d'assurance, pas de remplacement systématique. Et comme toute assurance, elle n'a de sens que calibrée sur les risques réels de chaque organisation.

Sur ce point, il vaut la peine de regarder ce que font certaines banques et infrastructures critiques européennes depuis plusieurs années : elles maintiennent délibérément une capacité à fonctionner sur des solutions alternatives, même si elles ne les utilisent pas au quotidien. Ce n'est pas de l'idéologie souverainiste, c'est de la gestion prudente.

Les bénéfices inattendus que personne ne mentionne

L'expérience russe a aussi produit des effets que le récit dominant ignore. La contrainte a accéléré des développements qui stagnaient depuis des années. Certains acteurs locaux — notamment dans le domaine des systèmes d'exploitation pour serveurs et des bases de données — ont progressé plus vite sous la pression des besoins réels que dans un marché ouvert où ils auraient continué à occuper des niches.

Ce mécanisme n'est pas propre à la Russie. C'est une constante de l'histoire industrielle : la contrainte génère de l'innovation quand elle est assortie d'un marché suffisant pour justifier l'investissement. L'Europe a ce marché. Ce dont elle manque parfois, c'est de la coordination pour créer une demande agrégée suffisante.

C'est d'ailleurs l'enjeu sous-jacent du projet GAIA-X, si souvent moqué pour sa lenteur, mais qui représente une tentative réelle — et difficile — de créer des standards d'interopérabilité qui rendraient possible une réduction progressive des dépendances sans rupture brutale. La critique légitime n'est pas que le projet existe, c'est qu'il avance trop lentement par rapport à l'évolution du contexte géopolitique.

Ce que cette histoire ne dit pas

Une mise en garde s'impose avant de conclure. Le RuNet n'est pas un modèle à suivre, et ce serait une erreur de lecture grossière que de l'interpréter comme la preuve qu'une « intranet européen » serait souhaitable ou même cohérent avec les valeurs sur lesquelles l'Union européenne est construite.

La souveraineté numérique européenne n'est pas — ou ne devrait pas être — un projet de fermeture. C'est un projet de réduction des asymétries de dépendance dans un espace ouvert. La différence est fondamentale. Ce que l'expérience russe enseigne, c'est le coût de ne pas s'y être préparé, pas la légitimité du modèle.

Et c'est peut-être là la vraie leçon pour les DSI qui lisent ces lignes : la question souverainiste n'est pas une question idéologique à trancher une bonne fois pour toutes. C'est une question de gestion du risque, à réexaminer régulièrement, à la lumière d'un contexte géopolitique qui, en 2026, n'a montré aucun signe de stabilisation.

Alors, à quelle strate de votre architecture êtes-vous vraiment exposé ? Et depuis quand n'avez-vous pas reposé sérieusement cette question ?