Qu’il s’agisse d’hébergement cloud, de SaaS ou encore de solutions de cybersécurité, les entreprises européennes se sont largement reposées sur les acteurs américains au cours des dernières années. Or, les événements récents rappellent à quel point confier la gestion et la sécurité de ses données nous expose à une perte de contrôle, même lorsqu’il s’agit de solutions de pays alliés historiques.
En effet, la politique à géométrie variable de Donald Trump a profondément modifié la perception des entreprises Européennes. Dernier exemple en date, la suspension du compte Microsoft du procureur de la Cour pénale internationale en mai 2025, à la suite de pressions politiques américaines. Ce blocage, sur instruction indirecte du gouvernement américain, a forcé la CPI à migrer vers un service suisse – une démonstration éloquente de l’emprise que peut exercer une autorité étrangère via un prestataire technologique privé.
Si ce contexte a ravivé un besoin de souveraineté numérique, ainsi qu’un réflexe patriotique économique, sa mise en œuvre semble loin d’être facile dans le domaine de l’informatique. Qui saurait aujourd’hui se passer de Microsoft, Salesforce, AWS ou Google ?
Si on passe sur les sujets de souveraineté, en se concentrant sur la sécurité des données, est-il raisonnable de choisir des solutions de sécurité provenant du même pays – même réglementation que son hébergeur ?
Or les choix de solutions de sécurité se basent souvent sur des études et analyses concurrentielles produites par des cabinets outre-Atlantique, avec des éditeurs de produits de cybersécurité américains leaders technologiques qui caracolent en tête.
Très largement utilisés par les DSI et RSSI de grandes entreprises européennes, leur omniprésence interroge.
Faut-il continuer à suivre ces recommandations au risque d’accentuer notre dépendance et les risques d’écoute, ou au contraire, accélérer le développement et l’adoption de solutions européennes pour mieux protéger nos intérêts stratégiques ?
Pour répondre à ces questions, Hervé Morizot cofondateur et co-CEO chez Formind pose dans cet article son regard et ses pistes de réflexion.
Le déséquilibre actuel : un arbitrage technologique made in USA ?
Qu’elles se nomment Magic Quadrant, Market Quadrant, Forrester Wave, IDC Marketscape ou encore Provider Lens, les analyses de produits de cybersécurité sont aujourd’hui nombreuses sur le marché.
Le problème ? Sur les sept principaux cabinets de conseil à les produire, seuls deux sont européens ou assimilés : l’allemand KuppingerCole et le britannique Omdia.
Véritable outil du soft power américain, ces cabinets comme le cabinet Gartner, façonnent depuis des décennies les tendances de la cybersécurité en créant des concepts et des termes comme le SIEM en 2005, le SOAR en 2015 ou le SASE en 2019 .
Pour Hervé Morizot, cofondateur et associé chez Formind : « Les grands cabinets de conseils américains animent le marché des solutions, tant par la visibilité de leurs études que par leurs influences auprès des décideurs.». Si leur impact est incontestable sur le marché US, la vision de ces classements est souvent orientée vers des solutions « Enterprise », qui peuvent ne pas être alignés avec les capacités d’investissement réelles des petites et moyennes entreprises européennes : « Malgré la qualité des produits cités, les clients ne cherchent pas systématiquement les solutions leaders positionnées en haut à droite de ces analyses – jugées souvent trop onéreuses – ces derniers iront plutôt se tourner vers des produits fiables, performants, souverains et à un coût maîtrisé. »
Pour les éditeurs de produits de cybersécurité émergents, la marche est encore haute. Figurer dans ces classements requiert d’avoir une solution technologique qui soit à la fois conforme à la définition du cabinet mais dont le chiffre d’affaires à l’international est habituellement supérieur à 10M€.
Ainsi, s’ils se retrouvent hors des classements, ces derniers assistent impuissants à un effet de prime aux gros : « Un grand compte ne prendra pas le risque de s’engager avec un acteur s’il craint que celui-ci ne disparaisse au bout de deux ans. Le critère de taille est ici déterminant : la barre est haute, et un petit éditeur sera très difficilement retenu par les grandes entreprises. »
Résultat ? Des solutions étrangères qui captent les flux de capitaux du tissu économique français, au détriment de solutions locales. Cette dynamique renforce la dépendance technologique et soulève de véritables enjeux de souveraineté.
Cloud Act et dépendance technologique : le double risque pour les données européennes
Au-delà de cette dépendance technologique, un autre facteur pèse lourdement dans la balance : le cadre légal qui régit l’accès aux données. Avec des lois extraterritoriales comme le Cloud Act, les autorités américaines disposent d’un levier puissant leur permettant d’exiger, sous certaines conditions, l’accès aux données hébergées par des entreprises américaines, où qu’elles se trouvent dans le monde. Cela signifie que, même si une entreprise européenne héberge ses informations sensibles sur des serveurs localisés en Europe mais exploités par un fournisseur américain, ces données restent potentiellement accessibles à la demande des autorités des États-Unis. Ce contexte juridique fragilise la confidentialité et la souveraineté des entreprises européennes, qui voient ainsi une partie du contrôle sur leurs données leur échapper.
La question n’est donc plus uniquement technologique : elle devient aussi politique et stratégique, car elle touche directement à la maîtrise de l’information et à la sécurité économique.
Face à cette réalité, de plus en plus de dirigeants s’interrogent sur la pertinence de continuer à privilégier des solutions de cybersécurité étrangères qu’elles soient américaines, israéliennes, chinoises ou russes.
Comme le souligne Hervé Morizot : « nous avons longtemps accordé une confiance presque automatique aux grands acteurs américains ou israéliens, à la fois pour le cloud et pour les solutions de sécurité, sans réellement remettre ce choix en question. »
Il ne s’agit pas de se priver totalement de fournisseurs incontournables comme Microsoft, Google, AWS ou Salesforce, mais de reconnaître qu’utiliser à la fois leurs services pour héberger les données et leurs solutions pour les protéger, revient à placer l’ensemble de ses actifs numériques sous la même juridiction étrangère. Cette double dépendance multiplie les risques liés à l’extraterritorialité du droit, et constitue désormais un enjeu majeur pour la souveraineté numérique européenne.
Un écosystème français de la cybersécurité pourtant bien présent.
Face à cette prédominance des solutions étrangères, une question demeure : quelles sont les alternatives crédibles dans le cas où elles existent ?
Si les éditeurs américains dominent le marché, le travail de veille ne se limite pas aux seuls référentiels outre-Atlantique. À titre d’exemple, pour le marché français, « Par exemple, nous collaborons chez Formind avec Auriga Partners — qui consacre 80 % de ses investissements initiaux aux startups de l’industrie de la cybersécurité en phase d’investissement early stage. Nous effectuons également une veille auprès des membres d’Hexatrust, association des champions français et européens de solutions de cloud et de cybersécurité, ce qui nous procure une vision globale et précise du marché. » Dès lors, il n’y a pas vraiment d’invisibilité des solutions européennes.
Avec pas moins de 179 startups et 46 scale-ups (cybersecurity innovation radar 2025), le nombre d’acteurs Français de la cybersécurité est important. Mais face à un problème de financement de leur croissance, il est souvent difficile pour eux de se battre à armes égales avec les leaders technologiques étrangers : « On déplore souvent, en France, l’écart entre les levées de fonds pratiquées outre-Atlantique et les levées de fonds qui financent nos entreprises. Toutefois, il serait inexact d’affirmer que nous sommes significativement à la traîne. Lorsque des startups françaises telles qu’Egerie lèvent 30 millions d’euros, Filigran, 32 millions d’euros ou encore Riot, 30 millions d’euros, cela constitue d’ores et déjà des réussites notables. Si vous avez une offre solide et un bon positionnement, les financements viendront. »
Autrement dit, si la France a su faire émerger quelques acteurs innovants, le défi majeur reste d’orchestrer une dynamique paneuropéenne et de donner à ces derniers la reconnaissance qu’ils méritent sur la scène européenne.
L’Europe a les solutions, mais pas encore le récit stratégique commun
Face au changement de ton des États-Unis, des pays comme l’Allemagne et le Danemark ont annoncé le souhait de se désengager des solutions américaines propriétaires (Microsoft) au profit des solutions open-source (Linux).
Pour autant l’Europe dispose-t-elle d’un tissu technologique capable de rivaliser sur le fond comme sur la forme ? Le constat est mitigé : « le manque de visibilité pan-européen sur les éditeurs performants rend difficile toute évaluation précise — il n’est pas exclu qu’une start-up allemande de premier plan, par exemple, échappe encore à nos radars. »
Plusieurs initiatives cherchent pourtant à combler ce déficit de transparence. GAIA-X, lancée par la France et l’Allemagne, affiche une ambition forte de souveraineté au niveau européen, mais pâtit de retards dans sa mise en œuvre et voit sa gouvernance régulièrement contestée.
En France, l’association Hexatrust a pris les devants en lançant HexaSearch, une plateforme dédiée à leur identification : ces outils fournissent une cartographie initiale du paysage hexagonal, que l’on peut ensuite consolider grâce aux qualifications de l’ANSSI, véritable gage de conformité et de robustesse.
Enfin, d’autres initiatives innovantes émergent, comme la plateforme 42K.io, qui sert de moteur de recommandation pour repérer rapidement les solutions européennes les plus pertinentes.
Si ces solutions existent, l’Europe n’a pas aujourd’hui d’outils permettant de structurer une réponse cohérente face aux géants américains, tout en offrant aux entreprises locales la visibilité et la crédibilité nécessaires pour se développer. La création d’un outil d’évaluation technologique pourrait être la solution.
Comment construire un outil d’évaluation technologique aligné sur les priorités européennes ?
Le modèle idéal pour ce nouvel outil serait résolument collaboratif, ouvert à tous les acteurs du marché. Hervé Morizot en souligne l’intérêt : « Un outil collaboratif où les entreprises et les utilisateurs finaux partagent leurs retours d’expérience constituerait une base solide pour évaluer les solutions. » Les notes seraient attribuées par critère – souveraineté des données, niveau de sécurité, respect des normes locales – tout en garantissant une évaluation indépendante, transparente et accessible à l’ensemble des décideurs européens.
Toutefois, la principale difficulté résiderait dans la mise en place d’un modèle économique viable pour soutenir cette démarche participative, sans compromettre l’indépendance et la qualité des contributions.
L’ENISA pourrait constituer un candidat légitime pour les solutions de sécurité: « en tant qu’agence européenne spécialisée, elle bénéficie d’une solide crédibilité et d’une expertise reconnue. Toutefois, l’agence n’a pas de vocation commerciale car ce n’est tout simplement pas son rôle. Un groupe de travail public-privé offrirait un compromis entre expertise institutionnelle et pragmatisme industriel, tandis qu’une structure indépendante garantirait souplesse et réactivité — à condition toutefois de définir un modèle économique viable pour préserver l’autonomie et la qualité des contributions. »
Une fois mis en place, un tel outil pourrait-il réellement influer sur les choix technologiques des administrations et des grandes entreprises ? « Très probablement, si ses critères d’évaluation sont définis de manière claire et portés par des décideurs prêts à s’y conformer. C’est cette clarté – alliée à la rigueur méthodologique – qui donnera à l’outil le pouvoir d’orienter les investissements vers des solutions à la fois souveraines et performantes. »
En cas d’incident de sécurité, notre Force d’intervention Rapide est disponible 24h/24 et 7j/7 
