RiffLab Media

Wallix en ordre de marche : quand la souveraineté numérique devient un argument commercial qui pèse

Date Published

# Wallix en ordre de marche : quand la souveraineté numérique devient un argument commercial qui pèse

> En 2026, le marché de la gestion des accès privilégiés est en pleine recomposition. Les DSI européens ne choisissent plus seulement un outil. Ils choisissent un territoire. Wallix, acteur français fondé en 2003, en profite — et ce n'est pas un hasard.


Ce qu'est le PAM — et pourquoi c'est au cœur de votre SI

Commençons par le commencement. PAM signifie *Privileged Access Management*, soit la gestion des accès privilégiés. Derrière cet acronyme technique se cache une réalité très concrète pour toute équipe IT.

Dans une entreprise, certains comptes informatiques ont des droits étendus : les administrateurs système, les prestataires externes qui interviennent sur vos serveurs, les techniciens qui accèdent à vos bases de données. Ces comptes sont appelés comptes à privilèges. Ils peuvent tout faire — ou presque. Modifier une configuration critique, exporter des données sensibles, ouvrir une porte dérobée.

Le problème ? Ces comptes sont aussi les cibles prioritaires des cyberattaquants. Pas parce que les hackers sont sophistiqués. Parce que compromettre un compte administrateur, c'est souvent compromettre l'ensemble du système d'information.

Un outil PAM répond à une question simple : qui accède à quoi, quand, depuis où, et peut-on le prouver ? Il enregistre les sessions, filtre les commandes autorisées, alerte en temps réel sur les comportements anormaux, et génère des journaux d'audit exploitables. Pour un RSSI — Responsable de la Sécurité des Systèmes d'Information —, c'est un filet de sécurité indispensable. Pour un DSI — Directeur des Systèmes d'Information —, c'est aussi une réponse aux exigences réglementaires croissantes : NIS2, DORA, ISO 27001.

Ce marché, longtemps dominé par des acteurs américains, est en train de se fissurer. Et Wallix est dans la brèche.


Un champion français dans un marché longtemps capté par les acteurs américains

Pour comprendre l'accélération de Wallix en 2026, il faut revenir sur la structure historique du marché PAM. Pendant plus d'une décennie, quelques grands noms américains ont imposé leurs solutions comme des références quasi universelles. Les équipes IT européennes les ont adoptées — souvent par défaut, parfois par conviction, rarement après une analyse comparative sérieuse de l'enjeu souverain.

Wallix, fondée à Paris en 2003, a longtemps été perçue comme le challenger local. Solide techniquement, reconnue dans les secteurs sensibles — défense, énergie, administrations — mais cantonnée à un rôle de second plan sur les grandes entreprises privées.

Ce positionnement a commencé à changer avec la montée en puissance du débat sur la souveraineté numérique en Europe. Les révélations sur les pratiques de surveillance américaine, le *Cloud Act* — cette loi américaine qui permet aux autorités US d'exiger l'accès aux données stockées par des entreprises américaines, y compris sur des serveurs européens —, et les tensions géopolitiques croissantes ont progressivement modifié le cadre de décision des DSI.

En 2026, ce cadre a profondément changé. La question n'est plus seulement : "Cet outil fonctionne-t-il ?" Elle est devenue : "Où sont mes données ? Qui peut y accéder sans mon accord ? Et si l'éditeur change ses conditions demain, que se passe-t-il ?"

Wallix apporte des réponses claires à ces trois questions. Et les DSI européens commencent à les entendre.


Ce que Wallix change concrètement dans le quotidien des équipes IT

Parler de souveraineté, c'est bien. Comprendre ce que ça change dans le travail quotidien des équipes, c'est mieux. Voici ce que l'adoption d'un PAM souverain modifie concrètement.

La gestion des prestataires externes devient traçable — et opposable

Dans beaucoup de PME et ETI européennes, les accès accordés aux prestataires informatiques sont mal maîtrisés. Un intégrateur intervient, on lui ouvre un accès VPN, il fait son travail — et parfois cet accès reste ouvert des semaines après la fin de la mission. Personne ne l'a révoqué.

Avec un PAM comme celui de Wallix, chaque session prestataire est enregistrée, horodatée, et archivée. L'accès est limité dans le temps, circonscrit à un périmètre défini. Si un incident survient, l'équipe IT peut rejouer la session image par image pour comprendre ce qui s'est passé. C'est une capacité d'audit que beaucoup d'entreprises n'ont tout simplement pas aujourd'hui.

Pour un RSSI, c'est une transformation majeure : on passe d'une posture de confiance implicite à une posture de vérification systématique et documentée. Ce que les professionnels appellent le modèle *Zero Trust* — ne jamais faire confiance par défaut, toujours vérifier.

Les équipes IT reprennent la main sur la cartographie des droits

L'un des problèmes les plus fréquents dans les SI de PME/ETI, c'est ce que les professionnels appellent l'accumulation de droits (*privilege creep* en anglais). Un employé change de poste, il garde ses anciens droits. Un projet se termine, le compte de service créé pour l'occasion reste actif. Un administrateur part, ses credentials ne sont pas révoqués.

Ce bruit de fond crée des vulnérabilités invisibles. Un PAM bien déployé force à nettoyer cet héritage. Il oblige l'équipe à cartographier qui a accès à quoi — et à justifier chaque droit accordé. C'est un travail ingrat au démarrage. C'est un investissement qui paie à la première tentative d'intrusion.

La conformité réglementaire devient moins douloureuse

NIS2, la directive européenne sur la cybersécurité, s'applique désormais à un périmètre élargi d'entreprises européennes. DORA concerne le secteur financier. Dans les deux cas, les exigences portent notamment sur la traçabilité des accès et la gestion des incidents.

Un outil PAM génère nativement les journaux d'audit nécessaires à ces conformités. Pour les équipes IT, c'est un allègement réel : plutôt que de reconstituer laborieusement des preuves après coup, elles disposent d'un historique complet et structuré. Le prochain audit devient moins une épreuve et davantage un exercice de restitution.

Et c'est ici que la dimension souveraine prend une importance supplémentaire : si les journaux d'audit sont stockés chez un acteur américain soumis au *Cloud Act*, leur confidentialité n'est pas garantie. Avec Wallix, les données restent sous juridiction européenne. Ce n'est pas une option accessoire. C'est une garantie structurelle.


Pourquoi les acteurs américains ne peuvent pas offrir la même garantie

Certains DSI posent la question de bonne foi : les grandes solutions américaines de PAM ne sont-elles pas aussi fiables techniquement ? La réponse honnête est : souvent, oui, techniquement.

Mais la fiabilité technique n'est pas le seul critère pertinent. Et c'est précisément ce que 2026 a rendu évident.

Un éditeur américain, aussi sérieux soit-il, est soumis au droit américain. Le *Cloud Act* de 2018 lui impose de fournir des données aux autorités américaines sur demande — même si ces données sont stockées en Europe, même si l'entreprise cliente est européenne. Il ne peut pas s'y opposer légalement.

Par ailleurs, ces éditeurs ont démontré ces dernières années leur capacité à modifier unilatéralement leurs conditions tarifaires, à faire évoluer leurs modèles de licences, à intégrer de force des fonctionnalités liées à leurs écosystèmes propriétaires. Chaque mise à jour peut redessiner la dépendance. Chaque rachat par un fonds américain peut changer les règles du jeu du jour au lendemain.

Ce n'est pas une critique de leur compétence. C'est une description de leur structure juridique et économique. Et cette structure crée un risque de dépendance que les DSI européens ont longtemps sous-estimé.

Wallix, coté en bourse à Paris, gouverné selon le droit français et européen, avec des équipes et des infrastructures majoritairement en Europe, ne présente pas ce profil de risque. Ce n'est pas une garantie absolue de perfection. C'est une garantie de cadre juridique aligné avec les intérêts de ses clients européens.


Ce que l'accélération de Wallix dit du marché européen en 2026

La dynamique de Wallix en 2026 n'est pas un phénomène isolé. Elle est le signe d'une transformation plus profonde dans la façon dont les DSI et CTO européens construisent leur feuille de route.

Pendant longtemps, le réflexe dominant était d'adopter ce que les analystes américains mettaient dans leur quadrant magique — une publication de référence dans l'industrie IT — sans interroger la pertinence de ce prisme pour des entreprises opérant sous droit européen, avec des données de citoyens européens, dans un contexte réglementaire européen.

Ce réflexe s'érode. Les DSI de PME et ETI, souvent moins équipés en ressources internes que les grandes entreprises, sont paradoxalement devenus plus agiles dans leur réflexion souverainiste. Ils n'ont pas de contrats pluriannuels massifs à renégocier. Ils peuvent choisir différemment dès leur prochain renouvellement.

Et ils le font. Le PAM est un bon exemple : c'est un outil qui touche au cœur du SI, qui implique des données d'audit sensibles, et dont le choix engage l'entreprise sur le moyen terme. C'est exactement le type de décision où la question de la souveraineté devient opérationnelle — pas idéologique.

Wallix a su articuler cette proposition de valeur de façon compréhensible pour ses interlocuteurs. La souveraineté n'est plus un argument de lobbying. C'est un critère de sélection dans les appels d'offres. C'est une ligne dans les matrices de risques des RSSI. C'est une question posée aux éditeurs lors des démonstrations.

Cette évolution est structurelle. Et elle profite aux acteurs européens qui ont eu la patience de construire une offre solide avant que le vent tourne.


Ce que ça implique pour votre feuille de route IT

Si vous êtes DSI ou RSSI d'une PME ou ETI européenne, l'accélération de Wallix vous envoie un signal utile : le marché des outils de sécurité souverains est désormais mature. L'excuse du "pas encore au niveau" ne tient plus.

Cela ne signifie pas qu'il faut changer tous vos outils demain. Cela signifie qu'à chaque renouvellement de contrat, à chaque nouveau besoin, la question de la souveraineté doit être posée explicitement — et documentée dans votre processus de décision.

Pour le PAM spécifiquement, quelques questions à intégrer dans votre prochain appel d'offres : Sous quelle juridiction les données d'audit sont-elles stockées ? L'éditeur est-il soumis au *Cloud Act* ou à une législation extraterritoriale équivalente ? Quelles sont les garanties contractuelles en cas de rachat de l'éditeur ? L'outil peut-il fonctionner en mode *on-premise* — c'est-à-dire installé directement sur vos propres serveurs — si votre politique de sécurité l'exige ?

Ces questions ne sont pas des obstacles à l'adoption d'un bon outil. Ce sont les fondations d'un choix éclairé.

Et dans un contexte où la cybersécurité est devenue une question de survie pour les entreprises de toute taille, un choix éclairé vaut mieux qu'un choix confortable.


*Wallix est un acteur coté sur Euronext Paris. Cet article ne constitue pas un conseil en investissement.*

Cet article vous a été utile ?

Recevez chaque vendredi nos analyses sur les alternatives souveraines SaaS. Pas de spam.

Pas de spam. Désinscription en un clic. Données hébergées en Europe.