SI de la Sécu en feu : le guide pour que vos budgets IT ne brûlent pas avec

# SI de la Sécu en feu : le guide pour que vos budgets IT ne brûlent pas avec

Pour les DSI et CTO de PME/ETI — 2026

Les systèmes d'information de la Sécurité sociale accumulent les incidents critiques. Pannes, fuites de données, indisponibilités prolongées. Ce qui se passe là n'est pas seulement un problème institutionnel : c'est un signal d'alarme concret pour tout responsable IT européen qui a externalisé une part de son infrastructure vers des acteurs américains en pensant que « ça tient tout seul ».

Parce que derrière la crise des SI publics, il y a une question que vos dirigeants vont vous poser dans les prochaines semaines : nos propres systèmes sont-ils mieux armés ? Et la réponse honnête, pour beaucoup de PME/ETI, est non. Voici comment changer ça — concrètement, par étape, avec une logique budgétaire.

Étape 1 — Cartographier vos dépendances critiques avant que quelqu'un d'autre ne le fasse pour vous

La première fragilité des SI de la Sécu, c'est l'accumulation silencieuse de dépendances non documentées. Des briques héritées, des connecteurs jamais auditées, des prestataires dont personne ne connaît plus le contrat. Vous avez le même problème, à votre échelle.

Action concrète : Lancez un audit de dépendances en posant trois questions simples à chaque chef de service :

• Quels outils métiers s'arrêteraient si votre accès Internet tombait ?
• Quels outils s'arrêteraient si un seul fournisseur US coupait votre accès (pour cause de sanctions, de litige, de changement de politique tarifaire) ?
• Quels outils traitent des données personnelles ou sensibles sans que votre RSSI ait signé quelque chose ?

Le résultat de cet audit est votre carte de risque réel. C'est aussi votre argument budgétaire auprès du COMEX : vous ne demandez pas un investissement souveraineté par idéologie, vous exposez un risque opérationnel chiffrable.

Point économique : Le coût d'un audit interne bien conduit est marginal. Le coût d'une indisponibilité non anticipée — perte de production, pénalités contractuelles, communication de crise — est lui, documentable. Documentez-le avant qu'il se produise.

Étape 2 — Identifier les postes budgétaires où l'acteur américain capte de la valeur sans contrepartie réelle

Depuis deux ans, les acteurs américains — que ce soit dans le cloud, la bureautique ou la sécurité — ont généralisé une pratique : l'augmentation tarifaire discrète couplée au verrouillage technique. Vous payez plus, vous dépendez davantage, et migrer devient un projet à six chiffres.

C'est exactement ce qui s'est passé dans plusieurs SI publics français : des contrats signés dans les années 2010 à des tarifs attractifs, devenus structurellement impossibles à rompre.

Action concrète : Sortez vos contrats actifs avec les acteurs dominants US. Pour chacun, identifiez :

1. Le coût de sortie réel — pas le tarif mensuel, mais ce qu'il faudrait dépenser pour migrer vos données, reformer vos équipes, reconfigurer vos intégrations.

2. La clause de révision tarifaire — à quel rythme l'acteur peut-il augmenter ses prix unilatéralement ?

3. La localisation effective des données — vos données sont-elles réellement hébergées dans l'UE, ou dans une filiale américaine soumise au Cloud Act ?

Ce travail prend entre deux et quatre semaines selon la taille de votre SI. Il est non négociable si vous voulez construire un budget IT 2027 qui ne soit pas une otage.

Point économique : Le risque tarifaire des hyperscalers américains n'est pas théorique. Plusieurs ETI françaises ont subi des hausses significatives sur leurs contrats cloud au cours des dix-huit derniers mois sans avoir de levier de négociation réel. La dépendance technique est la cause, pas la conséquence.

Étape 3 — Prioriser vos bascules : tout ne migre pas en même temps, et c'est normal

L'erreur classique du DSI qui veut « passer souverain » : vouloir tout migrer en même temps, se retrouver avec un projet pharaonique, et abandonner au premier obstacle budgétaire.

La méthode qui fonctionne est inverse : prioriser par criticité et par coût de sortie.

Matrice de priorisation simple :

| Criticité métier | Coût de sortie faible | Coût de sortie élevé |

|---|---|---||

| Haute | Migrer en priorité absolue | Négocier d'abord, migrer ensuite |

| Faible | Migrer quand l'occasion se présente | Laisser en l'état, surveiller |

Les outils à criticité haute et coût de sortie faible sont vos quick wins. Ce sont souvent des outils de collaboration, de gestion documentaire, ou de communication interne — des domaines où des acteurs européens comme **Infomaniak** (Suisse) proposent aujourd'hui des offres matures, hébergées sous droit européen, avec des SLA comparables aux références américaines.

Action concrète : Ne parlez pas de « migration souveraine » à votre COMEX. Parlez de réduction du risque tarifaire et d'amélioration du profil de dépendance fournisseur. C'est le même objectif, mais c'est un langage que la direction financière comprend sans traduction.

Étape 4 — Construire un budget souveraineté qui ne soit pas un budget punition

Beaucoup de DSI ont intégré la souveraineté numérique comme une contrainte réglementaire, c'est-à-dire comme un coût supplémentaire qu'on subit. C'est une erreur de cadrage qui vous met en position de faiblesse en interne.

La souveraineté numérique est un arbitrage de risque financier à moyen terme. Elle doit s'inscrire dans votre budget IT comme n'importe quel autre investissement de résilience.

Action concrète : construisez votre business case en trois colonnes

1. Coût du statu quo sur 3 ans — tarifs actuels + projection d'augmentation + coût estimé d'un incident majeur pondéré par sa probabilité.

2. Coût de la migration — investissement one-shot de bascule, formation, intégration.

3. Coût de fonctionnement sur 3 ans avec l'alternative européenne — tarif contractuel, conditions de sortie, localisation des données.

Dans la majorité des cas que nous avons analysés, le différentiel sur trois ans est positif pour l'alternative européenne dès lors que vous intégrez correctement le risque tarifaire et le coût d'un incident.

Un acteur à surveiller dans ce registre : Tixeo, éditeur français de visioconférence certifié, qui a construit son argumentaire commercial précisément sur ce comparatif TCO. Ce n'est pas le seul exemple, mais c'est l'approche que vous devez exiger de tout prestataire européen qui veut votre budget.

Étape 5 — Sécuriser vos contrats futurs avec des clauses que les acteurs US refusent (et ce que ça vous dit)

Voici un test simple : envoyez à votre prochain prestataire pressenti — américain ou européen — une demande incluant trois clauses :

• Localisation des données exclusivement sur territoire UE, certifiable et auditable.
• Absence de soumission à toute législation extraterritoriale (Cloud Act, FISA).
• Clause de réversibilité technique avec délai et format de restitution des données définis contractuellement.

La réponse que vous obtenez est plus informative que n'importe quel comparatif technique. Un acteur américain ne pourra pas signer la deuxième clause sans mentir. Un acteur européen sérieux signera les trois.

Action concrète : Intégrez ces trois clauses dans votre template d'appel d'offres dès maintenant. Elles deviennent votre filtre naturel — et elles renforcent votre position vis-à-vis du RGPD et, à terme, du règlement DORA si votre secteur y est soumis.

Point économique : La réversibilité contractuelle est votre levier de négociation tarifaire. Un prestataire qui sait que vous pouvez partir techniquement en moins de six mois vous propose de meilleurs tarifs. Un prestataire qui sait que vous êtes verrouillé technique augmente ses prix.

Ce que la crise des SI de la Sécu change vraiment pour vous

Elle change la conversation que vous pouvez avoir en interne. Pendant des années, la souveraineté numérique était perçue comme un argument idéologique réservé aux marchés publics. La crise des SI institutionnels — visible, documentée, coûteuse pour les contribuables — rend cet argument acceptable dans une salle de conseil d'administration privée.

Utilisez cette fenêtre. Elle ne durera pas indéfiniment.

Votre objectif d'ici la fin du premier trimestre 2027 : avoir une carte de dépendances à jour, un business case souveraineté validé par la DAF, et au moins un contrat acteur US remplacé par une alternative européenne sur un poste non critique — pour construire la compétence de migration interne avant d'en avoir besoin d'urgence.

Parce que la vraie leçon des SI de la Sécu, ce n'est pas que les systèmes publics sont fragiles. C'est que personne ne migre bien dans l'urgence.