Trois shifts arrivent simultanément (géopolitique, cyber et IA niveau 3). Leur combinaison crée une rupture majeure. L'État français est pris à contre-pied face à ces shifts simultanés et n'a rien préparé.
Les citoyens se retrouvent seuls à devoir anticiper les conséquences d'un possible découplage transatlantique, l'augmentation du risque numérique sur leurs données et de la montée en puissance de l'IA qui promet cette fois-ci, avec plus de preuves, de remplacer une grande partie de nos tâches intellectuelles.
Je cherchais un terme pour expliquer la coïncidence de trois sujets qui nous obsèdent depuis le lancement de Cybernetica et qui semblent converger en 2026. Chacun d'entre eux, pris seul, est suffisamment disrupteur. Mais la combinaison des trois crée une rupture majeure dans notre façon de voir le numérique. J'ai utilisé pour la décrire le terme de Big Shift.
Cette newsletter essaye de faire une première analyse de la situation alors qu'elle se développe en temps réel.
Le shift géopolitique
La première chose qui est sur toutes les lèvres, notamment depuis le discours de Trump à Davos et ses réclamations sur le Groenland, c'est la rupture annoncée entre l'Europe et les États-Unis. Pour nous cela rend l'idée d'un découplage numérique et militaire désormais incontournable. Passons sur l'aspect militaire qui est un sujet très complexe pour nous concentrer sur la question du numérique et de la dégradation des interdépendances annoncées.
La députée Aurore Lalucq qui est la présidente de la commission des finances du parlement européen n'hésite plus à expliquer que notre dépendance aux systèmes financiers américains est totale. Elle met en avant la situation des juges de la Cour pénale internationale coupés de toute leur vie numérique. Est-ce que chaque citoyen est voué au même sort ? Pas un jour sans qu'un article ne soit publié sur le sujet dans la presse grand public. On voit que cette inquiétude a dépassé le stade des spécialistes.
Mais peut-on encore recoller les morceaux ?
Un ami diplomate me confie que le processus en cours est probablement irrécupérable, et ce même si Gavin Newsom, actuel gouverneur de Californie, ou un autre démocrate revenait au pouvoir. Car c'est le cœur de la confiance qui a été altéré.
En marge de Davos et de DLD, j'ai vu des gens qui ont toujours été aux avant-postes des alliances transatlantiques complètement sonnés. J'en ai vu aussi quelques-uns qui essayent de courir après l'entourage de Donald J. Trump sans succès.
Soyons clairs, si aujourd'hui le risque de coupure du réseau à tous les Européens reste faible, le risque d'explosion des prix ne l'est pas et il faudra s'y préparer. Et il n'est pas impossible, à l'image de ce qui a été fait à Thierry Breton, que les coupures soient sélectives et touchent des personnalités ou des institutions.
Encore une fois nous en sommes au tout début.
En direction d'une cyberguerre
La deuxième chose, c'est qu'on rentre dans une ère conflictuelle d'un nouveau genre et que le cyberespace est redevenu un théâtre de guerre.
Lors de l'opération au Venezuela, Trump et des généraux américains ont laissé entendre que des « capacités techniques » avaient été mobilisées (« Lights of Caracas were largely turned off due to a certain expertise we have »), ce qui constitue une rare indication publique d'usage de capacités cyber offensives dans un contexte militaire.
L'attaque numérique d'un pays souverain par un autre pays souverain à l'aide de dispositifs cyber n'est pas sans rappeler l'opération Stuxnet en Iran.
Nous en avions parlé dans une précédente newsletter, ainsi que des conséquences de ce précédent. Suite à cette opération, les Russes, les Nord-Coréens, les Chinois et les Iraniens ont considéré que "all the gloves were off".
L'architecture mondiale des opérations cyber étatiques a évolué vers plus de capacités offensives et sophistiquées, incluant DDoS (faire tomber les sites), espionnage, exfiltration de données et sabotage.
Car cette démonstration de force s'accompagne aussi d'un mouvement de désengagement stratégique vis-à-vis de l'Europe qui interroge, au moins par son timing.
- En l'espace de quelques jours, les États-Unis via un mémorandum présidentiel du 7 janvier 2026 ont officialisé leur retrait du Global Forum on Cyber Expertise, du European Centre of Excellence for Countering Hybrid Threats et de la Freedom Online Coalition.
- Dans le même temps, la CISA (l'équivalent ou presque de l'ANSSI chez nous) limite l'effort de protection sur un nombre restreint de vulnérabilités exploitées.
- Parallèlement, la National Vulnerability Database (NVD), base publique américaine qui qualifie les failles de sécurité utilisées mondialement pour prioriser les correctifs, accumule un retard massif, notamment dû au blocage du gouvernement. Or cette base est une source d'alimentation importante pour la cybersécurité européenne.
Autrement dit, au moment même où la puissance cyber est affichée comme un instrument de confrontation, les canaux de coopération et de partage avec les alliés européens se tarissent. Ou pour être plus précis, se privatisent.
Rappelons que la France, avec le Royaume-Uni, figure aujourd'hui parmi les pays européens les plus exposés aux cyberattaques, selon plusieurs rapports de threat intelligence.
Cette situation s'explique en partie par la conjoncture internationale, avec des attaques ciblées d'origine étatique ou para-étatique, mais aussi par la montée en puissance de la criminalité organisée, portée par des délinquants numériques de plus en plus jeunes et structurés.
À cela s'ajoute un facteur plus spécifique au cas français : l'introduction, via la loi d'orientation et de programmation du ministère de l'Intérieur (LOPMI), d'une disposition conditionnant l'indemnisation par une assurance cyber au dépôt d'une plainte dans un délai de 72 heures après la découverte de l'attaque.
Cette mesure, vivement critiquée par de nombreux spécialistes de la cybersécurité lors de son adoption, n'a pas vocation à prévenir les attaques mais modifie profondément les comportements de déclaration, en augmentant mécaniquement le nombre de plaintes et la visibilité statistique des incidents.
Reprenons : Nous n'avons jamais eu autant d'attaques cyber, les États-Unis passent au niveau supérieur avec l'attaque offensive, et ils nous coupent l'accès aux bases de données et espaces de coopération. Cette coïncidence n'est pas fortuite et définit peut-être les premières briques du découplage EU/US.
L'IA de niveau 3
Le troisième shift, vous le connaissez évidemment, c'est l'intelligence artificielle générative qui s'améliore de plus en plus.
Au-delà de la bataille entre les différents acteurs, et leurs choix d'audience et leurs modèles de pricing que nous avions décrit dans une précédente newsletter, cette année voit le passage du niveau 1 et 2 à l'arrivée du niveau 3.
Ce niveau 3 a été officiellement annoncé par Dario Amodei, cofondateur d'Anthropic, Demis Hassabis et Elon Musk.
Nous passons à l'étape super pro avec des coûts mensuels qui vont exploser mais aussi la réalisation de tâches qui sont de plus en plus fiables et complexes. Le buzz autour de Claude Code, mais aussi l'exploit de ChatGPT 5.2 capable d'écrire un browser intégralement, montre que désormais on vise le haut du panier et des abonnés qui paient plus.
Dans l'absolu, ça veut dire que les offres à 200 dollars vont commencer à être adoptées plus largement, et que l'offre à 20 dollars deviendra le nouveau bas de gamme.
Je parie sur le fait que l'offre gratuite va rapidement s'enshittifier (pub, offre de sexbots) dès le mois de février.
Les signaux faibles de ce Big Shift
Les signes annonciateurs de ce Big Shift apparaissent déjà dans l'actualité.
- La coupure d'Orange TV qui coïncide avec la panne AWS montre que cette dépendance est souvent là où on ne s'y attend pas.
- Est-ce que cela veut dire que couper les services US couperait notre télévision et notre téléphone ?
- A-t-on été trop vite à démanteler les réseaux de cuivre (je le pense) ?
Comme nous l'avions anticipé, l'extension des techniques de la guerre en Ukraine s'étend au reste du monde. Par exemple en Iran où la Russie utilise son savoir-faire de brouillage des Starlink acquis en Ukraine.
Les licenciements de plus en plus affichés par les cabinets de conseils ou ESN, la baisse de toutes les valeurs logiciels se font aussi dans une anticipation où la création de logiciel et l'exécution de certaines tâches ne sont plus valorisées comme avant.
Face à cela l'État est impréparé.
Nous n'avons pas de doctrine géopolitique claire, nous n'avons pas de doctrine sur l'IA qui ne soit pas une copie de ce que font les acteurs US et sur la Cyber, la question a déjà été tranchée, le focus est sur un petit nombre d'acteurs car les moyens sont trop faibles face à l'immensité de la tâche. Les citoyens sont donc seuls.
Car l'État n'est plus en mesure de protéger ses citoyens face à cette triple menace.
On s'en était rendu compte lors du Covid, on va à nouveau s'en rendre compte avec le Big Shift. Au-delà du choix des personnes, de l'absence de vision, il y a aussi des questions structurelles qu'il va falloir remettre en cause.
Un système trop centralisé pour bouger rapidement
En France, c'est un des rares pays où l'écosystème numérique et l'économie numérique sont aussi dépendants de l'État.
- C'est la BPI qui irrigue en capital les fonds d'investissements mais aussi des start-up.
- C'est l'État qui, à travers un ensemble de programmes (French Tech, France 2030, des plans IA et cyber), définit le tempo mais aussi qui aura accès à son aide et ceux qui devront aller chercher ailleurs.
C'est un tropisme unique en Europe qui explique pourquoi les entreprises ne "se plaignent pas" et pourquoi la presse économique est souvent très consensuelle, au point de reprendre les mêmes éléments de langage.
Au final, ce sont un peu toujours les mêmes qu'on entend parler, qui publient des livres sur le numérique ou l'IA et qui expliquent aux Français ce qu'il faut faire ou ce qu'il ne faut pas faire.
Sauf que ce système arrive au bout de ses limites. Car il n'a pas su prendre en compte les avis différents portés par un nombre grandissant de personnes. Le circulez il n'y a rien à voir ne peut marcher qu'un temps.
Une de mes ruptures fondamentales avec le système actuel de la French Tech est connue : pour moi l'innovation ce n'est pas juste faire ce qui semble rationnel sur le papier, mais d'oser faire ce qui est irrationnel ou impertinent. La startup c'est une contre-culture. Sinon on crée une PME numérique et on ne "change pas le monde", on s'y conforme.
Le problème aujourd'hui c'est que ce n'est plus la tech qui change le monde mais la géopolitique.
Dans ce nouveau contexte, les vieilles recettes ne marchent plus.
Et les gens paniquent.
- Combien de startups sont basées sur les modèles SaaS dont la valorisation s'effrite ?
- Combien de startups et de grandes entreprises ont leurs architectures techniques construites sur des sables mouvants géopolitiques ?
Les entreprises ne sont pas prêtes
De nombreux DSI sont en train de sortir de certains data centers américains, m'expliquait-on, mais de manière très discrète.
Désormais, je rencontre quotidiennement des gens qui me demandent : "Mais comment on fait pour ne plus utiliser tel ou tel produit ?" On sent parfois dans le discours une forme de panique qui s'est accélérée dans les dernières semaines. Notamment chez les consultants qui étaient spécialisés pour vendre du cloud Microsoft, Google, Amazon et des solutions SaaS classiques et qui découvrent que le besoin de souveraineté numérique rend leur expertise totalement inadéquate.
En 2025, la "souveraineté numérique" voulait dire d'un point de vue opérationnel "réduire son exposition au risque géopolitique".
Mais c'est dans l'IA que la tension est encore plus palpable.
Un consultant me confiait récemment qu'il essaie d'accumuler le maximum d'expériences et de positions parce que dans l'année qui vient, il pense que tout le monde sera capable de produire des choses du même niveau que lui et que son contexte et son expérience sont la seule chose qui le différenciera.
Pendant quinze ans, la transformation numérique a été pensée essentiellement comme un problème d'outillage.
Les entreprises ont empilé les logiciels en supposant que la modernisation passait par davantage d'interfaces et de plateformes. Selon plusieurs études (Okta, Zylo), l'entreprise utilise en moyenne entre 100 et 300 applications, générant des silos de données, une complexité opérationnelle élevée et une dépendance forte à des compétences purement instrumentales. Une complexité qui touche au sublime.
Ce modèle où la valeur reposait sur la maîtrise des outils : savoir configurer, intégrer, maintenir, former, trouve désormais sa limite avec l'IA. Cette dernière fait s'effondrer le coût de production du logiciel et rend triviale la création d'interfaces, ce qui dévalue mécaniquement les compétences liées.
Dans le même temps, ces mêmes interfaces payées à prix d'or deviennent un obstacle pour les agents intelligents, qui travaillent plus efficacement sur des données et des structures brutes que sur des écrans pensés pour des humains.
La compétence critique se déplace donc : elle n'est plus dans l'exécution technique ni dans la manipulation d'outils, mais dans la capacité à orchestrer, structurer et formuler des intentions exploitables par des systèmes automatisés.
Si l'on prend les deux tendances, souveraineté numérique et agentique, non seulement notre écosystème financé par l'État n'est pas prêt, mais il se retrouve en friction maximale avec ces nouvelles tendances.
Et nous n'avons pas le temps suffisant pour en imaginer la réponse.
L'État se referme sur lui-même
Face à cette triple disruption, au lieu de réunir et de motiver, l'État continue à diviser et se refermer sur lui-même.
Nous vivons dans deux mondes parallèles.
- D'un côté, Macron a fait un bon discours à Davos avec un constat lucide, ce que même ses plus grands détracteurs lui concèdent.
- De l'autre, il n'a rien prévu pour protéger les Français et aucune mobilisation n'existe pour l'instant.
Il existe en France au moins cent mille personnes qui pourraient travailler dès aujourd'hui à la souveraineté numérique et à la résilience de la France.
Le grand raout sur la souveraineté numérique qui aura lieu le lundi 26 janvier 2026 racontera exactement la même chose et fera les mêmes recommandations que l'année dernière. On observe, on mesure, mais on n'agit pas.
La seule chose que nous avons pour l'instant réussi à souverainiser, c'est notre immobilisme.
Pour ajouter à cet environnement quasi-délétère, la situation politique n'aide pas. On constate un exode dans les cabinets des expertises, chacun essayant de trouver un job avant la dissolution voire la présidentielle.
En réalité, plus personne ne veut être aux commandes au moment où les choses vont commencer à devenir plus sérieuses et qu'il va falloir entrer dans le dur.
Il y a aussi un autre coup dur pour la DGE de Bercy
Au niveau européen, la France vient de perdre une bataille qu'elle menait depuis des années. Le schéma EUCS, le référentiel européen de certification cloud, vient d'être publié sans aucun critère de souveraineté.
Rien de ce que la France défendait avec SecNumCloud n'a été retenu : pas d'immunité aux lois extraterritoriales, pas de contrôle capitalistique.
La Commission européenne a tranché : EUCS sera une norme de sécurité, point. La CCIA, le lobby des grandes entreprises tech américaines, a publiquement salué la décision. La souveraineté, chaque État membre se débrouille.
Bercy, qui espérait imposer son modèle à l'Europe, se retrouve désormais isolé avec un référentiel que personne ne veut adopter à l'échelle continentale. Et le scénario le plus probable maintenant en France, c'est l'empilement : EUCS, SecNumCloud, ISO 27001. Trois couches réglementaires qui vont alourdir tout le monde sans régler le problème de fond.
Car le marché SecNumCloud ne pèse que quelques dizaines de millions d'euros. On a dépensé des années et des ressources pour un label que l'Europe refuse et que le marché ignore.
2026 ressemble de plus en plus à une fin de règne
Sans direction globale, toute la gamme de développeurs, d'intégrateurs, d'opérateurs et d'ESN divers et variés se retrouvent seuls, sans direction. Et parce qu'en 2026 il faut faire rentrer de l'argent dans les caisses, ils vont avaler leur fierté et se positionner sur les deux seuls secteurs rentables : IA et souveraineté.
Évidemment, beaucoup ont énormément de retard à combler et il faudra être prudent dans le choix de ses cabinets de conseils.
Et les citoyens dans tout cela ?
C'est le véritable angle mort de la politique numérique de l'État. Nous sommes seuls face au Big Shift.
Est-ce à nous de nous préparer et de définir une politique de résilience à la fois personnelle et dans nos entreprises ?
C'est ce que j'ai l'intention de faire dans le cadre de Cybernetica.
La première chose à laquelle nous allons nous atteler, c'est la question du découplage. La prochaine newsletter aura pour titre Reprendre le contrôle de sa vie numérique (avant le Big Shift).
Elle sera la première d'une série de newsletters qui fait le point sur la stratégie à avoir à titre personnel ou professionnel (indépendants, petites PME, artisans).
Évidemment, vous allez pouvoir y participer car je réfléchis à une initiative au niveau national de résilience numérique et je vais avoir besoin de vous.
Dans l'actualité
Pour nos abonnés payants, quelques lectures complémentaires cette semaine qui éclairent les enjeux de cette newsletter :
Lire l'article complet
S'inscrire maintenant pour lire l'article complet et accéder à tous les articles déstinés aux payants abonnés.
S'abonner
