🔴 Souveraineté, cybersécurité, autonomie cognitive

Après 15 ans dans la mauvaise direction, à coups d’annonces et d’effets de manche, beaucoup d’entre nous sommes épuisés. Aucun des sujets importants ne semble trouver de résolutions satisfaisantes dans un monde numérique de plus en plus compliqué.
⠀
Et à un an jour pour jour de la prochaine élection présidentielle, le paquebot État est face à un mur de problèmes et de complexités qu’il n’est plus en mesure de résoudre seul.

Il est sûrement trop tôt pour tirer le bilan de 15 ans de politique numérique qui nous auront plutôt affaiblis. Mais pas trop tard pour offrir un début d’analyse et tenter d’identifier quelques solutions.
⠀
Sur 2027, j’ai une intuition forte : comme pour les releases de macOS qui oscillent entre version avec des nouvelles fonctionnalités et version qui n’apporte rien de nouveau mais corrige les bugs, le prochain quinquennat devra être à 80 % de son temps et de son énergie dédié à rendre l’État fonctionnel.

Dans notre monde numérique, liberté, égalité et fraternité se traduisent par souveraineté, cybersécurité et autonomie cognitive. Résoudre ce triptyque, c’est garder une place pour la France dans le futur proche.

Vous êtes de plus en plus nombreux à vous abonner ! Pensez à forwarder cette newsletter à vos amis et personnes qui pourraient être interessé.

Avec cette newsletter, je me vois un peu comme un chef qui vous propose des entrées (des opinions sur un sujet), des plats de résistance (une réflexion plus approfondie) ou des desserts, comme les ciné-clubs, qui sont très appréciés.

Depuis son lancement, j’ai fait le choix de maintenir un prix très bas. Certaines notes valent à elles seules plusieurs fois le prix de l’abonnement. Vous êtes nombreux à m’avoir écrit qu’une seule de nos newsletters vous avait permis de faire la différence.

Le choix d’un tarif abordable répond aussi à la volonté de toucher d’autres publics que ma cible initiale, notamment les étudiants, mais aussi les petites PME, et toute personne qui a envie de réfléchir avec nous sur ces sujets.

💸 À noter : le prix de l’abonnement va augmenter la semaine prochaine.

ℹ️ En tant qu’abonné payant, vous avez accès :

• à l’ensemble des archives du site,
• à toute ma veille via un channel privé,
• à des réponses prioritaires à vos emails,
• aux événements que nous organisons,
• aux meetups du Conseil de la résilience numérique, organisés en marge des conférences où j’interviens.

C'est ici

Comprendre l’importance du triptyque

La souveraineté numérique est toujours aussi importante en 2026

Tout simplement pour trois raisons :
⠀
La première est existentielle : l’État, en 2026, doit, en plus de tout le reste, garantir à ses citoyens que nous avons une infrastructure minimale de communication qui ne soit pas affectée par un éventuel kill switch décidé par le président des États-Unis ou par la Chine si nos intérêts économiques, politiques et géopolitiques étaient désalignés.
⠀
Les exemples de l’Afghanistan, où Google a bloqué en quelques minutes les services du gouvernement afghan après la prise de Kaboul par les talibans, de l’Ukraine, où la Russie brouille et falsifie massivement les signaux GPS/GNSS, ou encore de l’Iran, où GitHub a restreint en 2019 ses services pour les développeurs, montrent que les moyens et la volonté existent.

Le killswitch des juges de la CPI, notamment le cas du juge français Nicolas Guillou, sanctionné par le Trésor américain le 20 août 2025, montre que c’est déjà possible à un niveau individuel. La question se pose désormais au niveau d’un pays.
⠀
La seconde est économique : comment utiliser une infrastructure logicielle et matérielle qui ne nous coûte pas une fortune.
⠀
La nouvelle étude Astérès, un cabinet proche des grandes plateformes américaines, pour le Cigref de mai 2026, chiffre le coût des hausses tarifaires du cloud-logiciel à 140 milliards d’euros par an en moyenne pour l’Europe sur la période 2026-2030, dont 93 milliards d’euros sortiraient définitivement de l’économie européenne. L’étude estime que ces hausses pourraient coûter à l’économie européenne 107 milliards d’euros de valeur ajoutée par an, soit 0,6 point de PIB, et 1,4 million d’emplois à horizon 2030.
⠀
J’avais des réserves sur la première étude, mais celle-ci s’améliore par rapport à la précédente, même si je pense qu’elle sous-estime le coût matériel, notamment la RAM, et les coûts en token pour les quelques années à venir.

Jean-Baptiste Kempf, lors de mon passage à l’émission À la French sur YouTube, nous expliquait que les prix de VMware, outils nécessaires pour le cloud, allaient à nouveau monter parce que la majorité des clients ont décidé de payer malgré des hausses de prix hallucinantes. (Lien à la fin)
⠀
La troisième est inspirationnelle: je l’écrivais déjà dans ma mission gouvernementale de 2013 : la création d’une industrie numérique locale d’excellence est quelque chose qui s’exporte à l’étranger. Il faut faire émerger une nouvelle génération de builders. On commence à le voir dans le cloud, où les acteurs français ont la cote, ou dans l’IA. Créer plutôt qu’acheter a toujours été une meilleure solution en tech.⠀

La cybersécurité ou l’état d’urgence numérique étouffé

Ce sujet est devenu un problème politique insoluble. Voici un florilège de ce que j’ai entendu sur le sujet.
⠀

1. L’État a failli à ses citoyens en exposant leurs données aux cybercriminels et aux trafiquants, mais aussi à l’espionnage économique.
2. On met en danger certains citoyens, puisque les croisements de type Palantir utilisés par les cybercriminels permettent de localiser où se trouvent les gens qui ont une arme, comme les membres de la Fédération française de tir, les policiers, ou les gens qui ont des revenus importants, comme les membres de la Fédération française de golf, ou encore des portefeuilles en crypto.
3. Cette déficience, exploitée par des jeunes pirates mais aussi par des cybercriminels, peut devenir quelque chose de plus grave en cas de guerre, ou comme nous le sommes aujourd’hui dans une situation de pré-guerre selon la terminologie OTAN.

⠀
Le monde de la cyber est en ébullition. Et si nos banques, opérateurs, administrations, services critiques n’avaient pas accès à des outils du même niveau pour détecter, corriger, patcher et comprendre les failles à très grande vitesse, alors nous entrons dans une asymétrie sécuritaire telle que nous n’en avons jamais connue.
⠀
Rappelons que le patron du GCHQ anglais expliquait que désormais 100 pays pourront brécher le UK. Combien de personnes, à titre individuel, seront capables, avec Mythos, de devenir une menace étatique ?
⠀
Est-ce que l’Europe rendra Anthropic responsable de hackings qui pourraient être attribués à l’usage de son produit ? Beaucoup de questions sans réponses pour l’instant.
⠀

Le défi de l’autonomie cognitive

Dans ce troisième volet du triptyque, je préfère l’idée d’autonomie cognitive que de parler d’IA. L’IA, c’est la technologie ; l’autonomie cognitive, c’est le super-pouvoir qu’elle nous donne.

Les possibilités sont immenses.
⠀

1. Rendre avec l’agentique l’État et les entreprises plus productifs. Recruter plus de « main-d’œuvre » administrative pour les tâches répétitives.
2. Permettre aux citoyens et aux utilisateurs d’être moins dépendants en réduisant l’asymétrie de connaissance : il devient possible de comprendre une question administrative de l’État sans avoir à appeler quelqu’un, ou encore comment programmer son four sans appeler Darty.
3. L’IA agentique pourrait enfin permettre de recoder les services qui fonctionnent mal. J’ai étudié ce sujet en détail : une équipe avec les bons outils pourrait auditer, corriger et redocumenter les systèmes informatiques qui ne sont pas encore adressés, plutôt que d’attendre et de réfléchir à transformer l’informatique de l’État de manière rapide. Mais pour cela, il faut utiliser les bons modèles frontières et les bonnes fenêtres de contexte.

Le vrai sujet à mon avis sera celui de la souveraineté agentique : la capacité de contrôler ses agents, de maîtriser ses outils, de comprendre ses systèmes et de ne pas dépendre d’un service d’IA unique qui limiterait la capacité cognitive des fonctionnaires, des entreprises et des citoyens pour des raisons que nous ne maîtriserions pas.
⠀
Car la vraie bataille de 2026 n’est plus la souveraineté du cloud mais de l’agentique. Bien utilisée, elle définit la manière dont on va restructurer la cognition de l’État, de chaque administration, de chaque fonctionnaire et, in fine, de chaque citoyen. Mal utilisée, c’est un chaos supplémentaire à gérer.
⠀

Alors pourquoi ça bloque au niveau de l’État ?

Trois raisons.
⠀

La centralisation du pouvoir

Pour créer un État fort numériquement, j’avais proposé un mode d’emploi dès 2013 avec la mission que j’avais faite pour le Premier ministre.

Mais j’ai fait une erreur de débutant en politique : en expliquant qu’il fallait développer un savoir-faire technologique en France en promouvant les ingénieurs et développeurs plutôt que les politiques et hauts fonctionnaires qui s’imaginent comme les vrais héros de la transformation numérique de l’État, j’ai rapidement été écarté de la conversation et pris pour cible pour mes positions sur la souveraineté.
⠀
Ce que je n’avais pas compris, c’est que le numérique en France allait être pour quelques milliers de personnes l’opportunité de régner sans partage sur les ressources, les budgets et les actions de l’État. Mais 15 ans plus tard, cette prise de pouvoir est à bout de souffle et n’a pas apporté les solutions promises.

La France n’a pas su saisir les occasions qui se présentaient à elle.
⠀

1. Il y a quinze ans, au moment du Web 2.0 et des débuts du cloud, nous avions l’opportunité de reprendre la main en travaillant à des alternatives aux monopoles tech et en créant une capacité technologique française. Au lieu de ça, l’État a déroulé le tapis rouge aux GAFAM et écarté tous ceux qui avaient un discours différent. Si le discours de souveraineté est désormais partout, la question que je me pose, c’est celle de la sincérité. Trump 2 sert d’épouvantail mais il faut rappeler que Trump avait déjà été élu une fois auparavant et que Biden, sur le numérique, avait été encore plus loin que Trump 1. Je reste donc sceptique.
2. Au lieu de construire une offre technologique forte, on a construit des normes. Pour devenir « souverain » en France, il faut passer par un système de normalisation franco-français, inaccessible aux petites entreprises et coûteux pour les grandes. Or sur les normes, l’Europe est structurellement plus forte que la France, et la France l’a appris à ses dépens. La France a tenté d’exporter SecNumCloud dans le débat européen autour de l’EUCS. En 2024, les exigences de « souveraineté » ont été retirées du projet sous la pression des hyperscalers américains et d’acteurs économiques européens.
   ⠀
   Bruxelles est désormais en train de reprendre la main sur la souveraineté numérique avec de nouvelles mesures comme le Tech Sovereignty Package et le CAIDA.
   
3. En France, la souveraineté est avant tout un outil de communication : on ne cherche pas vraiment à créer de la souveraineté, on cherche à la mettre en scène. Il suffit de voir l’éventail de gens qui font des communiqués de presse pour expliquer qu’ils passent à Linux ou OVH.

À ce titre, un ancien conseiller du gouvernement m’expliquait que la directive « cloud au centre » qui nous a été vendue par l’État comme une réponse à la souveraineté a surtout servi à imposer une hypercentralisation numérique.

L’État devenant un gigantesque OneDrive. Sauf que cette vision ne crée pas de l’agilité. Par contre, en cas de problèmes, elle devient une passoire centralisée et permet à des gens d’avoir accès à des choses qu’ils n’auraient jamais eues dans un monde décentralisé.

L’extension du périmètre des agences en charge du numérique

⠀
Un ancien très haut fonctionnaire me donnait une explication à l’impasse que nous vivons : depuis une vingtaine d’années, les agences de l’État en charge du numérique ont considérablement étendu leurs périmètres, sans avoir vraiment les moyens de ces tâches ni la compétence pour les mener à bien.
⠀
En faisant les recherches, je me suis rendu compte qu’il avait raison.

Certaines ont vu leur périmètre exploser. Par hubris, chaque agence a voulu tout faire, tout contrôler, tout normaliser, alors que leurs missions de base ont en même temps augmenté en complexité et en difficulté.
⠀
Quelques exemples :
⠀
L’ARCEP, qui s’occupe désormais aussi de l’interopérabilité du cloud en plus de la régulation des télécoms. Un sujet complexe, qui n’a que très peu d’adjacence avec sa fonction de base.
⠀
Réguler les télécoms, c’est mettre un nombre limité d’acteurs autour de la table et les obliger à suivre la réglementation française, ou leur mettre des amendes en cas de non-respect. D’où la fameuse formule : gendarme des télécoms.
⠀
Le cloud et l’interopérabilité, c’est bien plus complexe. Quel framework suivre ? Celui de Google ou Microsoft ? Celui de l’État ? Mais il faut alors le définir. Qui réunir autour de la table ? Combien de centaines d’acteurs ? Comment imposer une réglementation quand le monde de la tech lui-même n’est pas d’accord ? Et pendant ce temps, les sujets cruciaux classiques restent ouverts : l’arrivée de Starlink et d’Amazon dans l’internet satellite, avec des services qui fonctionnent hors régulation ; les services secrets terrorisés à l’idée de devoir demander aux équipes de Musk des interceptions dans le climat géopolitique actuel ; et les zones blanches que les opérateurs classiques n’arrivent toujours pas à combler, alors qu’il existe des solutions d’open source télécom en Europe.
⠀
Il y a aussi l’ARCOM, censée réglementer à la fois YouTube et CNews. Le domaine classique de ce qu’on appelait le CSA, c’était la réglementation des émissions de télévision, ce qui se dit à l’antenne, le respect de la diversité des opinions politiques, bref quelque chose de tangible et de facilement vérifiable. YouTube et les réseaux sociaux, ce sont des centaines de milliers de chaînes, des algorithmes souvent définis par les likes et les abonnements des utilisateurs. Je ne parle même pas des réseaux sociaux qui déversent chaque jour des térabits de contenus invérifiables. Comment faire ces deux tâches correctement ? C’est un vrai défi.
⠀
Il y a aussi le cas de l’ANSSI. Avant l’ANSSI, il y avait la DCSSI, elle-même héritière du SCSSI et des anciennes structures du chiffre et des télécommunications sécurisées. L’ANSSI naît donc comme une agence régalienne avec une mission claire : protéger les systèmes d’information de l’État, les communications sensibles et les infrastructures critiques.
⠀
Le glissement vient progressivement : elle ne sécurise plus seulement l’État. Elle encadre toute la cybersécurité française, avec des guides, des labels, des formations, de la sensibilisation et de l’accompagnement. Elle devient productrice de normes et de labels essentiels pour les acteurs de la cyber qui veulent travailler avec l’État. Puis son périmètre s’étend encore avec une logique en région : relais territoriaux, accompagnement des collectivités, animation d’écosystèmes locaux, coordination avec les régions et les acteurs cyber régionaux.
⠀
Un acteur de la cybersécurité, fin connaisseur du secteur, me disait qu’il n’est donc pas surprenant que, face au désastre du piratage de l’ANTS, mais également d’autres services régaliens, son directeur soit désormais menacé selon Le Canard enchaîné. Car derrière toutes les missions de formation et les alertes reste le cœur de la mission : la protection de l’État. Et si l’ANTS est hackée, cela veut donc dire que la protection de l’État ne fonctionne pas, indépendamment des qualités de cette agence.
⠀
Même si, à titre personnel, je trouve qu’on charge facilement l’ANSSI pour des problèmes qui sont bien plus systémiques, il y a quand même une réalité : l’extension du rôle des agences de l’État dans le numérique ne s’est pas traduite par plus de simplicité ou plus de facilité, mais par plus de normes, plus de complexité et donc, au final, plus de fragilités.
⠀
On pourrait également parler de la CNIL, qui a elle aussi vu son périmètre d’action exploser, mais qui, pour l’instant, a su rester en dessous du radar avec ses amendes qui laissent penser au grand public qu’elle continue sa mission de gendarme des données personnelles.
⠀
Il n’est pas possible de refermer ce chapitre sans parler de la DINUM, dont la directrice semble aussi sur le départ.
⠀
Elle naît de l’ATICA créée en 2001, devenue ADAE en 2003, puis absorbée dans la DGME en 2005, pendant qu’Etalab est créé en 2011 pour concevoir data.gouv.fr et coordonner l’ouverture des données publiques, avant d’être intégré au SGMAP en 2012, tandis que la DISIC est créée en 2011 pour piloter les systèmes d’information de l’État, puis transformée en DINSIC en 2015 en récupérant aussi Etalab, la mission data.gouv.fr, la logique open data, l’administrateur général des données, beta.gouv.fr, les startups d’État et la logique produit public, avant d’être elle-même remplacée par la DINUM en 2019, qui agrège désormais pilotage informatique, transformation numérique, data, cloud, design, accessibilité, IA, produits publics, incubateurs, accompagnement, recrutement et animation d’écosystème, sans oublier que, depuis cette année, elle veut aussi remplacer les acteurs privés en produisant sa propre suite logicielle et ses propres services cloud avec La Suite.
⠀
Vingt ans, sept noms, une seule constante : l’accumulation de pouvoir sans stratégie.
⠀
Les errements de l’État en matière de politique numérique sont la conséquence directe de la manière dont il a empilé pendant vingt ans structures, sigles, plateformes et satellites numériques au gré des modes et des buzzwords, sans stabiliser une stratégie cohérente.
⠀⠀
Car dans un monde où l’innovation est souvent fantasmée, il faut comprendre que le vrai succès des big tech américaines, c’est d’avoir été des îlots de stabilité : les mêmes dirigeants, les mêmes architectes, les mêmes cultures techniques sont restés vingt, trente, parfois quarante ans dans les mêmes organisations. Regardez par vous-même.

La question du talent technique est devenue un problème politique

Comme le disait un ami chercheur : les gens partent aux États-Unis ou au Canada, pas uniquement parce que c’est mieux payé, mais parce qu’ils ne vont pas se retrouver dans l’enfer administratif des grandes institutions, devoir gérer des patrons compliqués et faire du reporting plutôt que de la science ou du code.
⠀
L’absence d’une vraie politique du talent, en informatique, chacun connaît son niveau, est à mon avis le problème principal qui explique l’absence de maîtrise des trois sujets critiques. Des talents existent partout, mais sont-ils aux bons endroits ?
⠀
Reste la troisième raison, la plus dérangeante. Et c’est là que les chiffres deviennent difficiles à regarder en face.⠀

Le mythe du héros unique en IA

Tout miser sur Mistral, une société qui, pour l’instant, n’a pas prouvé qu’elle était capable, à terme, de rester dans le top cinq, le top dix, voire même le top vingt des IA mondiales, n’est pas sans risque. Surtout que son modèle d’entreprise de service intégré très malin se positionne plus comme une société de service dans l’IA sur le modèle Palantir, ce qui les oblige à aller vers le B2B plutôt que la caution IA du gouvernement.
⠀
J’ai vu que Mistral a fait de nombreuses annonces, des choses intéressantes, sûrement un peu de vaporware. J’en ai profité pour regarder son classement.
⠀
Le leaderboard du moment est brutal : sur LMArena Text Overall, Mistral Large 3 est classé 93e (https://arena.ai/leaderboard/text). Sur Artificial Analysis, Mistral Large 3 obtient un score de 23 sur l’Intelligence Index (https://artificialanalysis.ai/models/mistral-large-3).
⠀
Il faut néanmoins préciser que Mistral Large 3 est bien classé dans l’open source : #2 des modèles open source non-reasoning et #6 des modèles open source overall sur LMArena, selon Mistral (https://mistral.ai/news/mistral-3). Mais dans les classements globaux, il reste loin du peloton des modèles frontier.

Source : https://arena.ai/leaderboard/text
⠀
En coût, Mistral Large 3 coûte moins cher que les modèles américains frontier, mais n’a pas l’avantage prix-performance face aux meilleurs modèles chinois.
⠀
Si vous me posiez la question du classement global :

Sortir de la dépendance à Mistral ?

La vraie question que personne n’ose poser, c’est de savoir si leur centralité dans la stratégie IA de la France empêche toute réflexion sur l’avenir de notre stratégie de cognition.
⠀
Il est important de séparer l’avenir de Mistral et l’avenir de la France, qui ont des intérêts pas toujours convergents.
⠀
L’idée de faire de Mistral le single point of failure de l’IA française est problématique. Ce n’est pas une stratégie, c’est une dépendance. Même si Mistral est un acteur malin, performant sur certains sujets, il n’offre aucun accès à des modèles de niveau frontier au moment où l’on en a le plus besoin.
⠀
Autrement dit, l’autonomie cognitive d’un pays ne peut pas reposer sur l’hypothèse qu’un seul acteur national restera dans la course mondiale.
⠀
La stratégie unique du champion français est donc dangereuse, mais elle est politique et semble-t-il personne ne peut rien y faire d’ici à 2027.

Or une stratégie normale, dans un pays normal, consisterait à créer et à ouvrir plusieurs chantiers en compétition.

Ce qu’il faudrait faire

Voici quelques idées un peu disruptives dont je n'ai jamais encore parlé publiquement pour changer la donne.