Synthèse exécutive
Le débat européen sur la résilience numérique s'est conduit comme s'il s'agissait d'un problème technique isolé, sans comparaison rigoureuse avec les choix doctrinaux opérés ailleurs. Quatre modèles ont pourtant tranché les mêmes questions. L'extraversion américaine repose sur un droit extraterritorial qui transforme la dépendance des autres en levier opérationnel : CLOUD Act adopté le 23 mars 2018 [1], Section 702 du Foreign Intelligence Surveillance Act dont la réautorisation pluriannuelle se joue à Washington au moment de la publication de cet article [2], Executive Order 12333 signé par Ronald Reagan le 4 décembre 1981 [3], sanctions OFAC à portée secondaire. L'autarcie chinoise structure depuis vingt ans un Internet domestique conçu comme architecture séparée mais interopérable, sur lequel s'opèrent un Great Firewall combinant inspection profonde de paquets, manipulation DNS et injection BGP, trois opérateurs télécoms d'État, et un écosystème applicatif de substitution. L'autarcie défensive russe, formalisée par la loi du 1er mai 2019 [4] et matérialisée par les sondes TSPU déployées sous l'autorité de Roskomnadzor, a produit une démonstration empirique le 7 décembre 2024 lorsque le Daghestan, la Tchétchénie et l'Ingouchie ont été déconnectés vingt-quatre heures de l'Internet global [5]. La voie indienne, structurée par la Digital Public Infrastructure que portent Aadhaar, l'Unified Payments Interface et l'Open Network for Digital Commerce, propose une troisième logique fondée sur les protocoles ouverts et l'interopérabilité.
L'Europe se trouve dans une position singulière : forte sur la couche d'interconnexion intra-continentale, exposée sur la couche physique transatlantique, dépendante sur la couche applicative. Cet article cartographie les quatre modèles, identifie les incidents qui ont d'ores et déjà testé leurs résiliences respectives, et examine trois hypothèses prospectives susceptibles de matérialiser pour l'Europe l'épreuve qu'elle a différée. L'article 2, à paraître prochainement, traitera de l'architecture de fallback technique et de la roadmap industrielle européenne.
Note méthodologique : quatre registres épistémiques
Cet article distingue quatre niveaux de certitude appliqués aux affirmations qu'il avance.
Fait établi : donnée vérifiable et publiquement attestée. Source primaire ou académique systématiquement citée par note numérotée.
Lecture analytique : interprétation argumentée d'une donnée établie. L'analyse est explicitement présentée comme une lecture, et non comme un fait.
Inférence raisonnée : projection de comportements probables à partir de l'état du droit et des incitations économiques. L'incertitude résiduelle est nommée.
Pari éditorial : jugement explicite sur le caractère désirable ou réalisable d'une trajectoire. Présenté comme position de la rédaction, pas comme prédiction technique.
L'apparat critique est organisé en deux niveaux. Les notes principales ([1] à [38]) renvoient à des sources primaires institutionnelles, à des publications académiques évaluées par les pairs ou à des rapports de think tanks de référence (CSIS, Atlantic Council, Brookings, DGAP, Carnegie, Institut Montaigne, Bruegel). Une section Sources indicatives complémentaires réunit en fin d'article les références sectorielles, journalistiques et de monitoring utilisées en recoupement et qui n'ont pas vocation à servir d'autorité unique sur les faits qu'elles documentent.
Partie I. Diagnostic européen
I.1 Anatomie du transport
Internet ne forme pas un ensemble homogène mais un empilement de couches qui obéissent à des logiques de propriété, de gouvernance et de droit applicable distinctes.
La couche physique transporte les bits sous forme d'impulsions optiques. Pour l'intercontinental, elle se compose des câbles sous-marins ; pour l'intra-européen, des dorsales terrestres. Sur cette couche, le contrôle s'exerce par la propriété de l'infrastructure et la régulation des points d'atterrage.
La couche d'interconnexion gouverne la manière dont les réseaux indépendants s'échangent du trafic, à travers les points d'échange Internet (IXP), les accords de peering bilatéraux, et la fourniture de transit IP par les opérateurs Tier 1. Sur cette couche, le contrôle s'exerce par les politiques de routage et la signalisation BGP.
La couche logique assure la traduction des noms en adresses (DNS), l'allocation des préfixes IP par les RIRs, et le routage interdomaine. Sur cette couche, le contrôle s'exerce par la gouvernance protocolaire et par les opérateurs des serveurs faisant autorité.
La couche applicative héberge ce que l'utilisateur perçoit : services cloud, CDN, résolveurs DNS publics, plateformes SaaS. Sur cette couche, le contrôle s'exerce par la propriété logicielle, par les conditions d'utilisation, et par les juridictions applicables aux opérateurs.
I.2 Les vraies dépendances européennes
Le rapport publié par le groupe d'experts de la Commission européenne en octobre 2025 [6] établit que les hyperscalers américains (Google, Meta, Microsoft, Amazon) contrôlent environ 90 % de la capacité utilisée sur la route transatlantique et plus de 70 % de la bande passante internationale globale. Le Center for Strategic and International Studies, dans son rapport Safeguarding Subsea Cables d'août 2024 [7], confirme cette concentration : Amazon, Google, Meta et Microsoft possèdent ou louent en location longue durée environ la moitié de l'ensemble de la bande passante sous-marine mondiale ; en miroir, 98 % des câbles sont fabriqués et installés par seulement quatre entreprises (SubCom américaine, ASN française, NEC japonaise détenant ensemble 87 % du marché en 2021, HMN Tech chinoise détenant 11 %). L'Australian Strategic Policy Institute observe que la part des hyperscalers dans la capacité sous-marine internationale est passée de 10 % à 71 % sur la décennie écoulée [8].
À cette dépendance physique s'ajoutent celles du cloud applicatif, où AWS, Azure et GCP captent une large majorité du marché européen IaaS et PaaS selon les données de Synergy Research [9], des CDN grand public dominés par Cloudflare, Akamai, Fastly et CloudFront, et des résolveurs DNS publics les plus configurés (Google 8.8.8.8, Cloudflare 1.1.1.1). Pour les équipements de routage de cœur, Cisco et Juniper dominent, suivis de Nokia et Huawei (cette dernière écartée des marchés sensibles européens depuis 2020).
I.3 Les forces européennes négligées
Le diagnostic d'une Europe entièrement vassalisée occulte une réalité technique dont la robustesse est documentée. La distinction entre les deux périmètres DE-CIX, plateforme globale et plateforme Frankfurt, doit être posée précisément.
Sur l'ensemble de ses sites, DE-CIX, présent dans 60 marchés sur cinq continents, a vu transiter 79 exaoctets en 2025, en croissance de 16 % sur 2024 ; le pic global cumulé sur l'ensemble des sites a atteint 26,99 Tbit/s le 9 décembre 2025 lors d'une journée de Champions League ; la plateforme connecte plus de 4 000 réseaux à fin 2025 [10]. Au sein de cette plateforme globale, DE-CIX Frankfurt, plus ancien et plus dense des sites européens, a échangé 48 exaoctets sur l'année 2025 et établi son propre record local de 18,73 Tbit/s le même 9 décembre 2025, avec environ 1 100 réseaux connectés [11]. Cette précision compte : Frankfurt seul demeure le premier point d'échange européen, mais les 26,99 Tbit/s correspondent à un agrégat global, non à une mesure Frankfurt isolée.
À cette plateforme s'ajoutent AMS-IX (Amsterdam, plus de 11 Tbit/s de pic [12]), LINX (Londres), ESPANIX (Madrid), MIX (Milan), France-IX (Paris) et NIX.CZ (Prague). Tous opèrent sous droit européen.
Le système autonome AS1299 d'Arelion (Suède, anciennement Telia Carrier) est classé premier réseau Internet mondial selon les données opérationnelles de Kentik depuis 2017 [13]. CAIDA, le projet académique de référence pour la cartographie macroscopique de l'Internet hébergé par l'Université de Californie à San Diego, publie un classement des systèmes autonomes par taille de cône client (customer cone) qui constitue la mesure scientifique de l'importance topologique d'un AS [14]. Les opérateurs européens présents dans le club Tier 1 incluent Arelion, Telia, Sparkle (filiale de TIM), Deutsche Telekom (AS3320), Orange Wholesale (AS5511), aux côtés des américains Lumen (AS3356), Cogent (AS174), GTT (AS3257), Zayo (AS6461). Le club Tier 1 est mixte. Une coupure unilatérale des transits américains modifierait les chemins BGP préférentiels et augmenterait la latence vers certaines destinations, mais ne provoquerait pas de partition d'Internet à l'échelle européenne.
Le RIPE NCC, registre Internet régional pour l'Europe, le Moyen-Orient et l'Asie centrale, est une association de droit néerlandais basée à Amsterdam. Son indépendance politique a résisté aux tentatives d'instrumentalisation, notamment lors des demandes russes de sanction en 2022. L'AFNIC, le DENIC, Nominet et les autres ccTLD européens garantissent la souveraineté nationale sur la résolution des domaines. Le système de serveurs racine du DNS, malgré ses dix opérateurs américains sur douze, distribue 2 019 instances anycast à la date du 5 mai 2026, dont une part significative sur sol européen ; deux opérateurs sont européens (Netnod en Suède, RIPE NCC aux Pays-Bas) et un est japonais (WIDE) [15].
L'asymétrie est claire : la couche physique de longue distance et la couche applicative sont profondément américaines ; la couche d'interconnexion intra-européenne demeure largement européenne. La résilience à concevoir doit composer avec ce différentiel.
Partie II. Trois modèles, trois doctrines, plus une
Cette partie examine les architectures de souveraineté retenues par les puissances qui ont, contrairement à l'Europe, formalisé une doctrine.
II.1 Le modèle américain : extraversion sous juridiction
Le modèle américain est paradoxal : il proclame l'ouverture et l'interconnexion, et tire sa puissance d'avoir conçu l'infrastructure que tous utilisent. Cette ouverture s'adosse à un droit extraterritorial qui transforme la dépendance des autres en levier opérationnel.
Le triptyque CLOUD Act, FISA 702, EO 12333. Le Clarifying Lawful Overseas Use of Data Act, signé par Donald Trump le 23 mars 2018 dans le cadre du Consolidated Appropriations Act [1], autorise les autorités américaines à exiger d'un fournisseur soumis à la juridiction américaine la communication de données qu'il détient, indépendamment du lieu de stockage physique. La Section 702 du Foreign Intelligence Surveillance Act, originellement adoptée en 2008, autorise la collecte des communications de personnes étrangères situées hors des États-Unis depuis des systèmes de communication américains, sans mandat individuel [2]. Réautorisée pour deux ans par le Reforming Intelligence and Securing America Act du 20 avril 2024 [16], elle est arrivée à expiration le 20 avril 2026 ; deux extensions courtes ont été votées en avril 2026, la première de 10 jours puis une seconde de 45 jours signée par Donald Trump le 30 avril 2026, faute d'accord sur une réautorisation pluriannuelle [17]. L'Executive Order 12333, signé par Ronald Reagan le 4 décembre 1981 [3] et amendé notamment par EO 13470 (2008) et EO 14086 (7 octobre 2022), encadre les activités de la communauté du renseignement américaine en dehors du territoire national, y compris la collecte sur des câbles sous-marins en eaux internationales.
Schrems II et le Data Privacy Framework. L'arrêt Schrems II de la Cour de justice de l'Union européenne, rendu le 16 juillet 2020 (affaire C-311/18) [18], a invalidé le Privacy Shield encadrant les transferts de données personnelles entre l'Union et les États-Unis, au motif que le droit américain ne garantirait pas un niveau de protection essentiellement équivalent au RGPD, en particulier en raison de la portée de FISA 702 et d'EO 12333. La Commission européenne a adopté le 10 juillet 2023 la décision d'adéquation établissant le EU-US Data Privacy Framework [19], qui s'appuie sur l'Executive Order 14086 signé par Joe Biden le 7 octobre 2022 introduisant un mécanisme de recours pour les ressortissants européens. Plusieurs procédures ont été engagées par l'organisation NOYB devant les autorités de protection des données européennes, qui pourraient à terme conduire à un nouveau renvoi préjudiciel devant la CJUE [20]. L'inférence raisonnée est que l'équilibre institutionnel demeure structurellement instable : tant que FISA 702 et EO 12333 ne sont pas modifiés sur le fond, la conformité de leurs effets au standard européen continuera à être contestée juridiquement.
OFAC et sanctions secondaires. Le Office of Foreign Assets Control du Treasury Department administre les programmes de sanctions économiques américains. Sa portée est secondaire : un opérateur non américain peut être sanctionné pour avoir traité avec une entité elle-même sanctionnée par les États-Unis. Cette doctrine, éprouvée notamment par les sanctions iraniennes, expose les opérateurs européens d'infrastructure numérique à un risque juridique non symétrique [21]. L'extraversion américaine n'est donc pas un libéralisme désintéressé : elle est une forme spécifique de souveraineté qui passe par l'adoption mondiale de standards conçus aux États-Unis et l'application extraterritoriale d'un droit national.
II.2 Le modèle chinois : autarcie structurelle
La Chine a construit pendant deux décennies un Internet domestique conçu dès l'origine comme une architecture séparée mais interopérable, sous contrôle technique et politique du Parti communiste chinois.
Architecture du Great Firewall. Le Golden Shield Project, déployé à partir de 1998 et opérationnel à partir de 2003, repose sur la centralisation de la connectivité internationale chinoise à travers un nombre limité de systèmes autonomes opérés par les trois opérateurs d'État China Telecom, China Unicom et China Mobile. Le filtrage est réalisé aux routeurs de bordure BGP situés aux stations d'atterrage des câbles sous-marins et aux nœuds d'échange nationaux. Les recherches académiques de référence sur l'architecture du Great Firewall, notamment les travaux de Hoang, Niaki, Dalek, Knockel et al. publiés au USENIX Security Symposium 2021 sous le titre How Great is the Great Firewall? Measuring China's DNS Censorship, et du même auteur principal en 2024 dans le cadre du projet GFWeb, identifient trois techniques principales combinées [22]. La pollution et le détournement DNS, qui injectent de fausses réponses pour les domaines proscrits ; le blocage IP par null routing via injection BGP, qui force les routeurs à abandonner les paquets destinés aux préfixes ciblés ; le TCP Reset Injection, qui termine les connexions à la couche transport lorsque l'inspection profonde de paquets détecte une signature proscrite.
L'ampleur du blocage a été quantifiée par mesure académique. Le projet GFWatch, mené depuis mars 2020 par des chercheurs de l'Université de Stony Brook, du Citizen Lab à l'Université de Toronto, de l'Université du Massachusetts à Amherst et de Berkeley, a identifié à la mi-2024 plus de 640 000 domaines bloqués par filtrage DNS [22]. Le projet GFWeb, mené par les mêmes équipes et publié en 2024, a testé sur 20 mois 1,02 milliard de pay-level domains et identifié 943 000 domaines bloqués par filtrage HTTP et 55 000 par filtrage HTTPS, ce qui constitue à ce jour le jeu de données empiriques le plus large sur l'étendue du blocage chinois. Ces chiffres établissent l'ampleur structurelle du système ; aucun pourcentage agrégé du type « X % des domaines étrangers » n'a de validité scientifique en l'absence de définition rigoureuse de la population de référence.
L'écosystème de substitution. L'autarcie chinoise n'est pas seulement défensive ; elle est productive. Pour chaque grand service américain bloqué existe un équivalent chinois dominant : Baidu pour la recherche, WeChat (Tencent) pour la messagerie et les paiements, Alipay (Ant Group) pour les paiements, Weibo pour le micro-blogging, Bilibili et Douyin (version domestique de TikTok) pour la vidéo, Taobao et JD.com pour le e-commerce. Pour la navigation par satellite, BeiDou est devenu pleinement opérationnel mondialement en 2020 selon le China Satellite Navigation Office, avec 35 satellites en service et des précisions sub-décimétriques sur le territoire chinois [23]. Pour les paiements transfrontaliers, e-CNY et le Cross-Border Interbank Payment System (CIPS) constituent une alternative en construction à SWIFT et au système dollar [24]. Pour les câbles sous-marins, HMN Tech (héritière de Huawei Marine Networks après sa cession en 2019 au groupe Hengtong) construit le câble PEACE Cable Mediterranean Europe Asia et participe à plusieurs projets stratégiques dans le Pacifique et l'océan Indien.
Coût et limites du modèle. L'autarcie a un coût mesuré, pour la Chine, par l'écart d'innovation cumulé sur certains segments dépendant du circuit ouvert (recherche scientifique en accès libre, écosystème open source) et par la dépendance résiduelle aux semi-conducteurs avancés produits hors de Chine (TSMC, Samsung, équipements ASML). Les sanctions américaines de 2022-2025 sur les puces avancées et les équipements de lithographie ont matérialisé cette dépendance résiduelle ; la réponse chinoise par SMIC et l'effort interne sur la lithographie sont encore inachevés fin 2026. Le modèle chinois illustre néanmoins qu'une autarcie numérique à l'échelle continentale est techniquement faisable, à condition d'avoir été préparée pendant deux décennies par un investissement public massif et constant.
II.3 Le modèle russe : autarcie défensive
Le modèle russe est plus récent que le chinois, plus fragile techniquement, mais éclairant pour l'Europe parce qu'il a été construit dans la précipitation et testé empiriquement.
Cadre juridique : la loi du 1er mai 2019. La loi fédérale russe n°90-FZ du 1er mai 2019, dite « Sovereign RuNet Law », entrée en vigueur le 1er novembre 2019 [4], oblige les opérateurs télécoms russes à installer sur leur infrastructure les Технические средства противодействия угрозам, ou TSPU (« moyens techniques de contre-mesures aux menaces »), équipements d'inspection profonde de paquets déployés et administrés par Roskomnadzor. La loi prévoit l'établissement d'un système national DNS de secours, l'enregistrement obligatoire des points d'échange Internet, et la possibilité pour Roskomnadzor de prendre le contrôle centralisé du routage en cas de menace identifiée. L'analyse juridique et technique de référence sur cette loi a été produite par le Deutsche Gesellschaft für Auswärtige Politik (DGAP) sous le titre Deciphering Russia's Sovereign Internet Law [25].
Architecture technique du TSPU. L'analyse empirique la plus rigoureuse de l'architecture TSPU a été publiée à l'ACM Internet Measurement Conference 2022 par Xue, Ramesh, Jain, Wijewickrama, Tibebu, Kim et Ensafi [26]. Cette étude a identifié plus d'un million d'endpoints russes derrière des dispositifs TSPU, répartis sur 650 systèmes autonomes, et caractérisé trois types de mécanismes de blocage déclenchés respectivement par SNI, IP et QUIC. Selon l'Atlantic Council, dans son issue brief Reassessing RuNet publié en janvier 2025 [27], le RuNet doit être analysé moins comme un système centralisé sur le modèle chinois que comme une collection de réseaux dont l'isolation est techniquement possible mais inégalement aboutie ; l'organisation Human Rights Watch, dans son rapport Disrupted, Throttled, and Blocked de juillet 2025 [28], documente la coexistence de plusieurs versions de matériel et logiciel TSPU à travers les ISP, ce qui rend le travail du système inégal selon les régions et les fournisseurs.
Le test du 7 décembre 2024. Le 7 décembre 2024, Roskomnadzor a procédé à un test grandeur nature en déconnectant simultanément le Daghestan, la Tchétchénie et l'Ingouchie de l'Internet global pendant environ 24 heures [5]. Pendant cette période, les utilisateurs n'ont pas pu accéder à YouTube, Google, Telegram, WhatsApp ni à certains services de Yandex, ni passer ces blocages via VPN. NetBlocks, organisme de monitoring indépendant, a confirmé l'incident. Le choix des trois républiques majoritairement musulmanes, présentant un historique de tensions politiques, a été interprété par l'Institute for the Study of War comme un test de la capacité à neutraliser les communications dans une région à risque. C'est, à ce jour, la démonstration empirique la plus claire qu'une déconnexion régionale durable peut être opérée par voie technique sans cesser totalement le fonctionnement de l'infrastructure domestique.
Capacités contre les contournements et substitution applicative. Selon Human Rights Watch [28], les TSPU sont capables de bloquer plusieurs protocoles VPN dont OpenVPN, IKEv2, WireGuard et IPsec, et d'identifier les protocoles d'obfuscation comme Shadowsocks. Yandex, VK, Mail.ru et le messager Max constituent l'ossature de l'écosystème de substitution. Mir, lancé en 2014 par la banque centrale russe, est le système de paiement domestique alternative à Visa et Mastercard ; SPFS, le Système de transfert de messages financiers, est l'alternative russe à SWIFT [29].
Limites et fragilité. Plusieurs analyses académiques et institutionnelles soulignent que, contrairement à la Chine, l'Internet russe a été initialement construit comme un sous-ensemble intégré du réseau global, ce qui rend sa décomposition plus contrainte structurellement [27]. Plusieurs tests antérieurs (juin 2021, juin 2022) ont été qualifiés d'échecs partiels. La dépendance hardware résiduelle, en particulier aux composants chinois, taïwanais et israéliens utilisés entre 2019 et 2022, est en cours de substitution mais inachevée. L'inférence raisonnée est que la Russie dispose en mai 2026 d'une capacité de déconnexion régionale immédiate, et d'une capacité de déconnexion nationale complète encore imparfaite mais en progression rapide.
II.4 Le modèle indien : Digital Public Infrastructure
L'Inde propose une troisième voie, structurellement distincte des deux autarcies et de l'extraversion américaine.
Architecture en couches publiques ouvertes. La Digital Public Infrastructure indienne, marketée sous le nom de IndiaStack, repose sur trois couches fondamentales : identité (Aadhaar), paiements (Unified Payments Interface), partage de données (Account Aggregator), complétées par DigiLocker, eSign et la couche commerciale ONDC. Aadhaar, lancée en 2009, fournit à environ 1,4 milliard de résidents un identifiant biométrique unique sur 12 chiffres [30]. UPI, lancée en 2016 et opérée par la National Payments Corporation of India (NPCI), traitait à fin 2025 plus de 20 milliards de transactions par mois selon les statistiques NPCI ; selon le rapport ACI Worldwide Real-Time Payments Report 2024, l'Inde concentrait environ la moitié des paiements en temps réel mondiaux en volume [31]. ONDC (Open Network for Digital Commerce), lancée en 2022, comptait à décembre 2025 plus de 116 000 vendeurs dans plus de 630 villes selon le Press Information Bureau du gouvernement indien [32]. La JAM Trinity (Jan Dhan + Aadhaar + Mobile) sert de socle à l'inclusion financière. Une analyse de la Bank for International Settlements publiée en 2020 estimait que sans la stratégie DPI, l'Inde aurait mis cinq décennies pour atteindre le taux de bancarisation observé en 2020 [33].
Choix doctrinal : protocoles publics, opérateurs privés. L'originalité indienne tient à la séparation entre protocole et opérateur. L'État édicte des protocoles ouverts ; les opérateurs privés (banques, fintechs, marchands) y connectent leurs services. Ce schéma rappelle la philosophie initiale d'Internet : couche basse standardisée, innovation concurrentielle au-dessus. L'export du modèle a commencé : UPI est intégré dans plusieurs juridictions étrangères, dont Singapour, les Émirats arabes unis, la France et le Sri Lanka ; le Sri Lanka, le Maroc, les Philippines, la Guinée, l'Éthiopie et le Togo ont commencé à adopter des composants d'IndiaStack selon les analyses comparatives publiées par l'Institut Montaigne en décembre 2024 [34].
Critiques et angles morts. Le modèle indien n'est pas sans coûts. Les travaux empiriques de l'économiste Reetika Khera (Indian Institute of Technology Delhi) et du Right to Food Campaign documentent des taux d'échec biométrique élevés chez les travailleurs manuels et plusieurs cas de décès liés à des refus d'aide alimentaire pour défaut Aadhaar [35]. Une étude de J-PAL publiée en 2020 sur le Jharkhand a montré que 88 % des cartes de rationnement annulées appartenaient en réalité à des bénéficiaires légitimes et non à des fraudeurs. La gouvernance, malgré l'apparence de standard ouvert, reste centralisée : UIDAI pour Aadhaar, NPCI pour UPI, Sahamati pour Account Aggregator, ONDC Ltd pour ONDC. La distinction entre standard ouvert et plateforme contrôlée est plus floue que la communication officielle ne le laisse entendre. Ces critiques importent pour l'Europe : elles indiquent que l'open source n'est pas, en soi, garantie de neutralité.
II.5 Cas voisins : Brésil et Israël
Deux cas voisins méritent mention courte parce qu'ils éclairent la palette des choix accessibles.
Le Brésil a démontré une troisième voie de souveraineté juridictionnelle réactive lorsque le juge Alexandre de Moraes du Tribunal Supremo Federal a ordonné en septembre 2024 le blocage du réseau social X sur le territoire national, après refus d'Elon Musk de désigner un représentant légal et de retirer des comptes considérés comme diffuseurs de désinformation. Le service a été rétabli en octobre 2024 après mise en conformité. Cet épisode illustre qu'un État de taille intermédiaire peut imposer son droit à un grand acteur global sans construire d'infrastructure alternative, à condition de disposer d'un cadre juridique habilitant les juges et d'opérateurs locaux capables de filtrer.
Israël a fait l'expérience inverse : un écosystème cyber offensif domestique de premier plan (NSO Group, Pegasus, Candiru) coexiste avec une dépendance applicative grand public quasi totale aux acteurs américains. Le scandale Pegasus 2021 a démontré que la sophistication offensive ne se traduit pas mécaniquement en autonomie infrastructurelle. C'est un avertissement pour l'Europe : disposer de capacités cyber militaires ne dispense pas de construire la résilience civile.
II.6 Synthèse comparative
Les quatre modèles tranchent les mêmes questions selon des axes différenciés. Le graphe suivant propose une représentation visuelle de leur positionnement sur sept dimensions structurantes, dont la méthodologie est explicitée immédiatement après.
L'Europe se trouve, en mai 2026, sur une coordonnée singulière : faible souveraineté physique, faible souveraineté logicielle, capacité de déconnexion non formalisée, substitution applicative limitée, régulation extraterritoriale moyenne (RGPD, DMA, DSA, AI Act), protection des libertés élevée, coût de souveraineté contenu parce que la souveraineté n'est pas construite. Cette configuration combine les contraintes des autres modèles sans bénéficier de leurs leviers. C'est un pari éditorial assumé.
Partie III. Incidents documentés et hypothèses prospectives
Le caractère opérationnel d'une menace ne se prouve pas par la spéculation mais par l'examen de ce qui s'est déjà produit.
III.1 Incidents récents documentés
Câbles sous-marins, Baltique 2023-2024. Le 8 octobre 2023, le gazoduc Balticconnector et plusieurs câbles de télécommunications reliant l'Estonie à la Suède et la Finlande ont été endommagés par une ancre traînée du navire Newnew Polar Bear. Le 17 novembre 2024, deux câbles sous-marins ont été coupés en mer Baltique : C-Lion1 (Allemagne-Finlande) et BCS East-West Interlink (Suède-Lituanie) ; le navire Yi Peng 3, sous pavillon chinois, a été identifié comme suspect par les autorités suédoises et danoises. Le 25 décembre 2024, le câble Estlink-2 et plusieurs câbles fibre Estonie-Finlande ont été endommagés ; le pétrolier Eagle S, identifié comme appartenant à la flotte de contournement des sanctions associée à la Russie, a été immobilisé. Le rapport CSIS Safeguarding Subsea Cables d'août 2024 documente la généralité du phénomène : entre 100 et 150 câbles sont endommagés chaque année, principalement par ancres et engins de pêche, mais l'exposition de l'infrastructure en fait également une cible facile pour les opérations dites de zone grise [7].
Câbles, Mer Rouge février 2024. Le 24 février 2024, les câbles Seacom, AAE-1 (Asia-Africa-Europe-1) et EIG (Europe India Gateway) ont été endommagés au large du Yémen [36]. L'origine des incidents demeure contestée entre une ancre dérivante du cargo Rubymar (coulé en mars 2024 par les Houthis) et une action délibérée. La capacité Asie-Europe via la Mer Rouge a été réduite d'environ 25 % pendant plusieurs semaines, forçant le redéploiement d'une partie du trafic vers les routes du cap de Bonne-Espérance, au prix d'un rallongement de latence de l'ordre de 30 à 50 millisecondes.
Fuites BGP majeures. En avril 2020, Rostelecom (AS12389) a annoncé pendant environ deux heures plus de 8 800 préfixes BGP appartenant à Google, Cloudflare, Hetzner, Digital Ocean et plusieurs banques internationales, redirigeant temporairement une partie du trafic via la Russie [37]. Aucun de ces incidents ne relève de l'agression caractérisée ; tous illustrent la fragilité structurelle du protocole BGP en l'absence de validation RPKI universelle.
Pannes hyperscaler et cascade logicielle. Les incidents AWS US-EAST-1 (notamment celui du 7 décembre 2021, sept heures de panne affectant AWS Console, Disney+, Netflix, Slack, documenté par AWS dans son post-mortem officiel) illustrent l'effet de cascade qu'une défaillance dans une seule région cloud peut produire à l'échelle mondiale. La panne CrowdStrike du 19 juillet 2024, déclenchée par une mise à jour défectueuse du module Falcon Sensor, a affecté simultanément environ 8,5 millions de machines Windows selon les chiffres communiqués par Microsoft [38], et provoqué l'interruption de services aériens, hospitaliers et financiers majeurs : un avant-goût concret de ce qu'une dégradation simultanée de dépendances logicielles américaines peut produire en Europe.
III.2 Trois hypothèses prospectives
L'analyse de la résilience exige de poser explicitement les hypothèses d'agression. Cet exercice n'attribue ni intention ni probabilité chiffrée ; il établit ce qui pourrait être dégradé, dans quel ordre, avec quelles conséquences.
Hypothèse A : durcissement extraterritorial américain. Cette hypothèse consiste en une instrumentalisation accrue des leviers OFAC ou FISA pour conditionner l'accès aux services hyperscaler à des engagements politiques (alignement sur les sanctions américaines visant des tiers, modulation des positions diplomatiques, abandon de réglementations européennes contestées par les opérateurs américains, modulation des droits de douane). La cinétique de dégradation est juridique avant d'être technique : les opérateurs européens, contraints de se conformer pour préserver leurs flux commerciaux, suspendent les services aux clients sanctionnés. Les délais sont de plusieurs semaines à plusieurs mois. La capacité de réponse européenne dépend de l'existence ou non, à la date de matérialisation, d'alternatives techniques en mode dégradé.
Hypothèse B : crise de Taïwan affectant production semi-conducteurs et câbles transpacifiques. Une escalade militaire dans le détroit de Taïwan affecterait d'abord la production TSMC, avec des effets en cascade de six à vingt-quatre mois sur l'approvisionnement européen en puces avancées. Elle pourrait également affecter une partie des câbles transpacifiques en cas d'opérations de blocus ou de cyberopérations contre l'infrastructure sous-marine. L'Europe serait moins directement touchée que l'Asie-Pacifique, mais subirait les contrecoups industriels sur le hardware (équipements réseau, datacenters, électronique automobile et défense). La cinétique est lente sur les puces, rapide sur les câbles.
Hypothèse C : escalade OTAN-Russie avec volet sous-marin et cyber. Une dégradation de la guerre en Ukraine, ou un incident en mer Baltique impliquant directement un État membre, pourrait conduire à une montée des actions hybrides russes : sabotage continué de câbles baltes et nord-atlantiques, cyberattaques sur infrastructures énergétiques et de communication, opérations TSPU étendues en Biélorussie. Le risque pour l'Europe est moins celui d'une déconnexion totale que celui d'une dégradation continue par cisaillements répétés, augmentant les coûts assurantiels et opérationnels sans franchir le seuil de la riposte armée. La capacité de réponse demande la couverture des câbles par des moyens navals (déjà annoncée par l'OTAN sous le programme Baltic Sentry depuis janvier 2025), un durcissement BGP/DNS pour absorber les fuites de routage, et une chaîne d'attribution rapide.
Conclusion intermédiaire
Les quatre modèles examinés ne constituent pas des choix exclusifs entre lesquels l'Europe devrait opter. Ils délimitent un espace doctrinal dont la position européenne actuelle, sans levier opérationnel formalisé, mérite à tout le moins discussion. La rédaction tient cette position pour fragile : pari éditorial nommé.
L'Europe ne reproduira pas l'extraversion américaine parce qu'elle ne possède pas l'infrastructure qui en serait l'outil. Elle ne reproduira pas l'autarcie chinoise parce que sa structure politique l'interdit. Elle ne reproduira pas l'autarcie défensive russe parce que les incidents documentés en montrent les fragilités. Elle peut, en revanche, examiner sérieusement le modèle indien (DPI, protocoles ouverts, opérateurs privés, échelle continentale) et l'expérience brésilienne (souveraineté juridictionnelle réactive) comme structures de référence partielles.
La résilience européenne est moins un problème de souveraineté pure qu'un problème d'architecture de fallback. Que mettre en place pour qu'en cas de matérialisation d'une des trois hypothèses prospectives, le continent dispose d'une dégradation graduelle plutôt que d'une rupture brutale ? C'est l'objet de l'article 2 de cette série, à paraître prochainement, qui examinera la roadmap technique (RPKI, MANRS, hyperlocal root, IRIS²), industrielle (cartographie des acteurs européens) et politique (Internet Resilience Act, doctrine d'emploi, articulation avec le Digital Networks Act en consultation depuis mars 2026).
Cet article applique un système épistémique à quatre registres explicité dans la note méthodologique. Les estimations chiffrées présentées entre parenthèses ou explicitement nommées comme telles ne constituent pas des mesures certifiées et appellent un recoupement avec les sources primaires et académiques citées en notes principales. La suite de cette analyse, traitant de l'architecture de fallback et de la roadmap industrielle européenne, paraîtra dans un second article.
Notes principales
[1] Clarifying Lawful Overseas Use of Data Act (CLOUD Act), Pub. L. 115-141, division V, 23 mars 2018 ; intégré au Consolidated Appropriations Act 2018.
[2] Foreign Intelligence Surveillance Act of 1978, 50 U.S.C. ch. 36, Section 702 introduite par le FISA Amendments Act de 2008 (Pub. L. 110-261).
[3] Executive Order 12333, United States Intelligence Activities, 4 décembre 1981, signé par Ronald Reagan ; modifié notamment par EO 13284 (2003), EO 13355 (2004), EO 13470 (2008) et EO 14086 (7 octobre 2022).
[4] Loi fédérale russe n°90-FZ du 1er mai 2019, dite « Sovereign RuNet Law » ; entrée en vigueur le 1er novembre 2019 ; obligation TSPU codifiée dans la loi sur les communications n°126-FZ du 7 juillet 2003 telle qu'amendée. Analyse juridique de référence : Sherman J., Deciphering Russia's Sovereign Internet Law, Deutsche Gesellschaft für Auswärtige Politik (DGAP), 2020.
[5] NetBlocks, Live Metrics: Internet disrupted in Russia's Republic of Dagestan, 7 décembre 2024 ; Institute for the Study of War, daily assessments décembre 2024 ; analyse contextuelle : Reassessing RuNet, Atlantic Council, janvier 2025.
[6] Commission européenne, Working Group on Submarine Cables Resilience and Security, recommandations présentées en octobre 2025 ; chiffres repris dans les analyses sectorielles d'octobre-novembre 2025.
[7] Center for Strategic and International Studies (CSIS), Safeguarding Subsea Cables: Protecting Cyber Infrastructure amid Great Power Competition, par Daniel F. Runde, Erin L. Murphy et Thomas Bryja, août 2024.
[8] Australian Strategic Policy Institute (ASPI), Hyperscalers and the dominance of submarine cable infrastructure, 2024.
[9] Synergy Research Group, Worldwide Cloud Market Quarterly Report, éditions trimestrielles 2024-2025.
[10] DE-CIX, Global Data Traffic Volume Hits Record-Breaking 79 Exabytes in 2025, communiqué de presse, 22 janvier 2026 ; pic global cumulé sur l'ensemble des 60 sites DE-CIX au 9 décembre 2025 documenté à 26,99 Tbit/s.
[11] DE-CIX Frankfurt, données 2025 : 48 EB échangés sur la plateforme Frankfurt isolément, record local 18,73 Tbit/s le 9 décembre 2025, environ 1 100 réseaux connectés. Source : communiqué DE-CIX du 22 janvier 2026.
[12] AMS-IX, statistiques publiques de trafic, plateforme principale Amsterdam, données disponibles sur ams-ix.net.
[13] Kentik, AS Rankings, mise à jour continue ; Arelion AS1299 classé numéro un mondial selon ces données opérationnelles depuis 2017.
[14] CAIDA (Cooperative Association for Internet Data Analysis, UC San Diego), AS Rank, méthodologie fondée sur la mesure du customer cone d'un système autonome via les données BGP du Route Views Project et de RIPE NCC ; données et documentation disponibles sur asrank.caida.org.
[15] Root-Servers.org, statistiques opérationnelles consultées au 5 mai 2026 (2 019 instances déclarées par les douze opérateurs) ; IANA, Root Server Operators, https://www.iana.org/domains/root/servers ; ICANN Root Server System Advisory Committee (RSSAC), publications RSSAC002.
[16] Reforming Intelligence and Securing America Act of 2024 (RISAA), Pub. L. 118-49, signée le 20 avril 2024 ; sunset Section 702 fixé à deux ans après promulgation, soit le 20 avril 2026. Analyse : Klein A., FISA Section 702 Reauthorization, Brookings Institution, 2024 ; Goitein E., Section 702 of the Foreign Intelligence Surveillance Act, Explained, Brennan Center for Justice, mises à jour 2024-2026.
[17] Congressional Research Service, FISA Section 702 and the 2024 Reforming Intelligence and Securing America Act, R48592, mise à jour 2025-2026 ; couverture des extensions courtes d'avril 2026 par la presse spécialisée et la presse mainstream américaine.
[18] Cour de justice de l'Union européenne, arrêt C-311/18 Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems, 16 juillet 2020.
[19] Décision d'exécution (UE) 2023/1795 de la Commission du 10 juillet 2023 constatant le niveau de protection adéquat des données à caractère personnel dans le cadre du EU-US Data Privacy Framework.
[20] NOYB (None Of Your Business), EU/US Data Transfers, the third try, plaintes engagées depuis 2023 ; affaires pendantes devant les autorités nationales de protection des données.
[21] Office of Foreign Assets Control, programmes de sanctions consolidés ; Center for a New American Security (CNAS), publications sur la doctrine extraterritoriale des sanctions OFAC, 2023-2025.
[22] Hoang N. P., Niaki A. A., Dalek J., Knockel J., Lin P., Marczak B., Crete-Nishihata M., Gill P., Polychronakis M., How Great is the Great Firewall? Measuring China's DNS Censorship, USENIX Security Symposium 2021. Plateforme GFWatch (Stony Brook University, Citizen Lab University of Toronto, UMass Amherst, UC Berkeley) : 640 000+ domaines bloqués détectés depuis mars 2020. Pour le filtrage HTTP/HTTPS, Hoang et al., Measuring the Great Firewall's Multi-layered Web Filtering Apparatus, projet GFWeb 2024 : 943 000 pay-level domains bloqués par filtrage HTTP et 55 000 par HTTPS sur 20 mois. Documentation Citizen Lab (Munk School of Global Affairs, University of Toronto) sur l'écosystème GFW.
[23] China Satellite Navigation Office, communiqué de mise en service mondiale du système BeiDou-3, 31 juillet 2020.
[24] People's Bank of China, communiqués sur le Cross-Border Interbank Payment System (CIPS) et e-CNY, 2022-2025 ; Bruegel, China's CBDC and the international monetary system, série d'analyses 2022-2025.
[25] Sherman J., Deciphering Russia's Sovereign Internet Law, Deutsche Gesellschaft für Auswärtige Politik (DGAP), publications série « DGAP Analysis », 2020.
[26] Xue D., Ramesh R., Jain V., Wijewickrama M., Tibebu E. S., Kim S., Ensafi R., TSPU: Russia's Decentralized Censorship System, ACM Internet Measurement Conference (IMC) 2022. Université du Michigan, Censored Planet.
[27] Atlantic Council, Reassessing RuNet: Russian internet isolation and implications for Russian cyber behavior, issue brief, janvier 2025.
[28] Human Rights Watch, Disrupted, Throttled, and Blocked: State Censorship, Control, and Increasing Isolation of Internet Users in Russia, rapport publié le 30 juillet 2025.
[29] Banque centrale de Russie, communications sur le Système financier de transfert de messages (SPFS) ; Carnegie Endowment for International Peace, analyses sur les alternatives russes à SWIFT, 2022-2024.
[30] Unique Identification Authority of India (UIDAI), statistiques publiques d'enrôlement Aadhaar consultées en 2026 ; Press Information Bureau Government of India, Digital Public Infrastructure in India, 2026.
[31] National Payments Corporation of India (NPCI), statistiques mensuelles UPI ; ACI Worldwide, Real-Time Payments Report 2024 ; Observer Research Foundation, India's DPI 2.0: From UPI to Universal Data Empowerment, février 2026.
[32] Press Information Bureau, Government of India, India's Digital Public Infrastructure, mars 2026.
[33] Bank for International Settlements (BIS), D'Silva D., Filková Z., Packer F., Tiwari S., The design of digital financial infrastructure: lessons from India, BIS Papers No. 106, décembre 2019. Estimation BIS sur l'accélération de la bancarisation indienne via le stack DPI.
[34] Institut Montaigne, India's Digital Public Infrastructure: a Success Story for the World?, décembre 2024 ; Carnegie Endowment for International Peace, série d'analyses comparatives sur l'export du modèle DPI, 2024-2025.
[35] Khera R., articles académiques sur Aadhaar et l'exclusion sociale, Economic and Political Weekly notamment ; Right to Food Campaign (Inde), documentation des décès liés aux exclusions Aadhaar ; J-PAL, Direct Benefit Transfers in Jharkhand, 2020 ; Human Rights Watch, Bad Inputs to Good Policy: Aadhaar's Use in Welfare Distribution, mars 2018.
[36] TeleGeography Submarine Cable Map, données sectorielles ; International Telecommunication Union (ITU), Submarine Cable Resilience, 2024.
[37] Center for Applied Internet Data Analysis (CAIDA) et Internet Society, analyses des fuites BGP majeures 2020-2024 ; rapport opérationnel sur la fuite Rostelecom AS12389 du 1er avril 2020.
[38] Microsoft Security Response Center, communications post-incident CrowdStrike du 19 juillet 2024 ; CrowdStrike, Channel File 291 Incident Root Cause Analysis, août 2024 ; chiffre de 8,5 millions de dispositifs Windows affectés communiqué par Microsoft.
Sources indicatives complémentaires
Cette section recense les sources sectorielles, journalistiques et de monitoring utilisées en recoupement et qui n'ont pas vocation à servir d'autorité unique sur les faits qu'elles documentent. Elles permettent de contextualiser les sources primaires et académiques citées dans les notes principales.
Suivi sectoriel et opérationnel. TeleGeography (Submarine Cable Map, State of the Network annual report), DE-CIX et AMS-IX communiqués opérationnels, PeeringDB, Hurricane Electric BGP Toolkit (bgp.he.net), bgp.tools, NetBlocks (mesures opérationnelles d'incidents de connectivité). Subsea Cables (subseacables.net), Total Telecom, Light Reading pour la couverture sectorielle des câbles sous-marins. Capacity Insights pour les rapports sectoriels.
Presse spécialisée internationale. Lawfare et Just Security pour FISA et le droit du renseignement américain ; Recorded Future News (The Record), Politico Europe pour la couverture des incidents de connectivité ; CNBC, Reuters, Financial Times pour la couverture des projets hyperscalers ; The Insider (theins.ru) pour la couverture critique de la Russie ; The Maritime Executive pour les incidents en mer Baltique.
Plateformes de mesure de la censure. OONI (Open Observatory of Network Interference, https://ooni.org), Censored Planet (University of Michigan, https://censoredplanet.org), GreatFire (https://greatfire.org), GFWatch et GFWeb (Stony Brook + Citizen Lab + UMass + Berkeley).
Sources russes critiques. Roskomsvoboda (organisation russe de défense des droits numériques), DPIdetector (projet de mesure des protocoles bloqués par TSPU), Mediazona pour la couverture des poursuites pour contournement.
Sources documentaires sur la Chine. Citizen Lab China research portfolio (Munk School of Global Affairs, University of Toronto), incluant les rapports sur WeChat, TikTok, et les architectures de censure chinoises ; ACM Queue Splinternet Behind the Great Firewall of China, 2012, comme référence historique sur l'architecture initiale du GFW.
Données de marché. Synergy Research Group, IDC, Gartner, Statista pour les parts de marché cloud, CDN et logiciel ; Submarine Telecoms Forum Industry Report annuel.
Analyses de think tanks complémentaires. Brookings Institution (FISA, surveillance, India DPI), Council on Foreign Relations (CFR) sur la cybersécurité internationale, Chatham House (Russia, hybrid threats, Internet governance), Carnegie Endowment for International Peace (China tech, India DPI, Russia cyber), Center for a New American Security (CNAS) sur la compétition technologique sino-américaine, Bruegel sur les politiques numériques européennes, OECD Going Digital Project pour les données comparatives, World Economic Forum Global Risks Report.
Glossaire
Aadhaar : système d'identification biométrique national indien, fondé en 2009.
Anycast : technique de routage par laquelle une même adresse IP est annoncée depuis plusieurs emplacements ; le routage Internet livre le paquet à l'instance la plus proche.
BGP poisoning : injection de routes BGP frauduleuses ou malveillantes pour détourner ou bloquer le trafic.
CLOUD Act : Clarifying Lawful Overseas Use of Data Act, loi américaine du 23 mars 2018.
Customer cone : ensemble des systèmes autonomes qu'un AS donné peut atteindre directement ou via ses clients, mesure utilisée par CAIDA pour ranker l'importance topologique d'un AS.
DPI (Deep Packet Inspection) : inspection du contenu des paquets réseau au-delà des en-têtes.
Digital Public Infrastructure (DPI) : ensemble de protocoles publics interopérables permettant l'identification, le paiement et le partage de données à l'échelle d'une population.
EO 12333 : Executive Order 12333, signé en 1981 par Ronald Reagan, encadrant les activités de la communauté du renseignement américaine en dehors du territoire national.
FISA Section 702 : section du Foreign Intelligence Surveillance Act autorisant la collecte sans mandat des communications de personnes étrangères situées hors des États-Unis depuis des systèmes de communication américains.
Great Firewall (GFW) : système chinois de censure et de contrôle d'Internet, opérationnel depuis 2003.
OFAC : Office of Foreign Assets Control du Treasury Department américain.
RuNet : segment russe d'Internet, conçu pour fonctionner en isolation conditionnelle depuis la loi du 1er mai 2019.
Schrems II : arrêt CJUE C-311/18 du 16 juillet 2020.
TSPU : moyens techniques de contre-mesures aux menaces (Технические средства противодействия угрозам).
UPI : Unified Payments Interface, infrastructure indienne de paiements en temps réel lancée en 2016.
Sigles
ANSSI : Agence nationale de la sécurité des systèmes d'information BGP : Border Gateway Protocol BIS : Bank for International Settlements CAIDA : Cooperative Association for Internet Data Analysis CDN : Content Delivery Network CIPS : Cross-Border Interbank Payment System CLOUD Act : Clarifying Lawful Overseas Use of Data Act CSIS : Center for Strategic and International Studies DGAP : Deutsche Gesellschaft für Auswärtige Politik DMA : Digital Markets Act DNS : Domain Name System DPI : Deep Packet Inspection ; Digital Public Infrastructure (selon contexte) DSA : Digital Services Act EO : Executive Order FISA : Foreign Intelligence Surveillance Act FISC : Foreign Intelligence Surveillance Court GFW : Great Firewall of China ITU : International Telecommunication Union IXP : Internet Exchange Point JAM : Jan Dhan-Aadhaar-Mobile NPCI : National Payments Corporation of India OFAC : Office of Foreign Assets Control ONDC : Open Network for Digital Commerce RGPD : Règlement général sur la protection des données RIPE NCC : Réseaux IP Européens Network Coordination Centre RKN : Roskomnadzor RISAA : Reforming Intelligence and Securing America Act RPKI : Resource Public Key Infrastructure SaaS : Software as a Service SPFS : Système russe de transfert de messages financiers TSMC : Taiwan Semiconductor Manufacturing Company TSPU : Технические средства противодействия угрозам UPI : Unified Payments Interface WIDE : Widely Integrated Distributed Environment Project