Aller au contenu
NNextHop
Pédagogie

Hygiène informatique pour la souveraineté numérique.

La souveraineté n'est pas un label qu'on accroche au mur, c'est une discipline quotidienne. Comme l'hygiène cyber promue par l'ANSSI, elle se résume à quelques réflexes simples appliqués sans relâche aux décisions d'achat, aux contrats, à l'architecture.

Pourquoi maintenant

Le CLOUD Act (2018), le FISA Section 702, les sanctions extraterritoriales et la fragmentation géopolitique récente ont changé la nature du risque numérique. Une décision d'hébergement n'est plus seulement technique ou financière : c'est un acte qui engage votre juridiction applicable, votre continuité d'activité et la confidentialité de vos données.

Les bons réflexes

6 réflexes d'hygiène souveraine

Pour chaque réflexe : le risque concret qu'il couvre, et la façon de le mettre en pratique demain matin.

Réflexe 01

Connaître son droit applicable

Le risque

Une donnée hébergée chez un fournisseur US-controlled peut être réquisitionnée par un juge américain (CLOUD Act 2018, FISA 702), sans information de la personne concernée, sans recours UE.

En pratique

Avant tout contrat : vérifier le siège juridique du fournisseur, l'identité de sa maison-mère, sa réponse documentée à un éventuel CLOUD Act request.

Réflexe 02

Tracer la chaîne capitalistique

Le risque

Un cloud « européen » détenu majoritairement par un fonds extra-UE retombe sous des leviers étrangers (sanctions, restrictions export). Le pavillon ne suffit pas.

En pratique

Demander l'organigramme actionnarial à 3 niveaux. Surveiller les mouvements de capital (M&A) qui modifient la juridiction effective.

Réflexe 03

Localiser physiquement ses données

Le risque

« Région européenne » dans une console ne garantit ni que les données restent en UE, ni que les backups, journaux ou métadonnées ne transitent ailleurs.

En pratique

Exiger un schéma de flux : où sont les données primaires, les répliques, les logs, le plan de contrôle. Demander des engagements contractuels par écrit.

Réflexe 04

Maîtriser ses clés de chiffrement

Le risque

Si le fournisseur détient les clés, il peut être contraint de déchiffrer. Le chiffrement-au-repos « managed » est une garantie technique, pas juridique.

En pratique

BYOK (Bring Your Own Key) ou HYOK (Hold Your Own Key) via HSM souverain. Pour les données sensibles : chiffrement applicatif côté client, clé jamais transmise.

Réflexe 05

Aligner ses certifications sur ses risques

Le risque

ISO 27001 ne dit rien de la souveraineté. SecNumCloud et HDS répondent à des risques précis (données santé, OIV/OSE), à choisir selon votre exposition réglementaire.

En pratique

Cartographier vos données par sensibilité (publique → secret défense). Pour chaque classe : exiger la certification adaptée + un audit récent.

Réflexe 06

Préserver sa réversibilité

Le risque

Le lock-in (formats propriétaires, APIs spécifiques, services managés exclusifs) transforme un coût d'exploitation en dépendance stratégique : on ne peut plus partir.

En pratique

Privilégier les standards ouverts (Kubernetes, S3, OpenStack). Vérifier le SLA de sortie (durée, format, coût). Tester un PRA chez un autre fournisseur tous les 12 mois.

Auto-évaluation

5 niveaux de maturité - où en êtes-vous ?

Identifiez le niveau qui vous décrit le mieux aujourd'hui. L'objectif n'est pas d'être au sommet, mais de progresser d'un cran chaque semestre.

N5Maîtrise

Les 6 réflexes sont intégrés au cycle achat & exploitation. Tableau de bord souveraineté à la DSI.

« Vous avez un PRA testé chez un cloud souverain alternatif. »

N4Conforme

Cartographie complète, fournisseurs principaux audités, clés client maîtrisées sur le périmètre sensible.

« Vous savez où sont vos données critiques et qui peut y accéder. »

N3Engagé

Démarche lancée : audit en cours, premières migrations critiques planifiées, formation équipes IT.

« Vous avez identifié les angles morts et chiffré la dette de souveraineté. »

N2Conscient

Vous percevez le risque mais vous ne disposez pas encore d'une cartographie ni d'un plan formalisé.

« Vous savez qu'il faut agir, sans encore savoir par où commencer. »

N1Exposé

Données critiques hébergées sans analyse de risque juridique. Aucune réversibilité testée.

« Un événement géopolitique ou commercial peut couper votre service du jour au lendemain. »

Plan d'action

Par où commencer ?

Cinq étapes concrètes pour passer du niveau N1/N2 vers N3 en un trimestre, sans budget supplémentaire.

1
Cartographier en une semaine les 10 services SaaS/cloud qui hébergent vos données les plus sensibles.
2
Pour chacun : déterminer le siège juridique, la maison-mère, l'emplacement physique des données.
3
Identifier les 3 fournisseurs où une coupure brutale aurait l'impact le plus lourd (continuité d'activité).
4
Ouvrir un dossier de revue contractuelle sur ces 3 fournisseurs : clauses de réversibilité, juridiction applicable.
5
Tester un scénario de bascule sur l'un d'eux dans les 90 jours.

Comité d'évaluation

Qui évaluera le label EJCI

Le label EJCI ne sera pas attribué par NextHop seul. Un comité d'évaluation multi-stakeholder est en cours de constitution : un avis ANSSI envisagé, des juristes spécialisés en droit du cloud, des RSSI du secteur public et des journalistes spécialisés. L'objectif est de croiser les regards et de partager la responsabilité des décisions.

Statut

Comité en cours de constitution, publication prévue Q3 2026. Aucune nomination effective à date. Les sollicitations en cours et les acceptations seront publiées ici, datées et signées.

Procédure de candidature

5 étapes pour postuler au label EJCI

La procédure cible les fournisseurs cloud et les éditeurs SaaS souhaitant attester de leur conformité EJCI. Elle est volontairement progressive pour limiter le formalisme initial.

1

Auto-évaluation

Le candidat remplit la grille publique des 6 réflexes, fournit les justificatifs pour chaque item (URLs publiques, contrats, certifications). Aucun frais à ce stade.

2

Dossier écrit

Soumission d'un dossier formalisé au secrétariat EJCI : déclarations juridiques, schémas d'architecture, attestations indépendantes. Vérification de complétude sous 15 jours.

3

Audit terrain par comité

Audit sur site (ou en visio pour les services purement cloud) par 2 membres du comité, avec entretiens techniques et juridiques. Durée typique 2 jours.

4

Décision motivée

Le comité délibère et publie une décision motivée : attribution, attribution conditionnelle, ou refus. La décision est rendue publique avec les motifs principaux.

5

Renouvellement annuel

Le label est valable 12 mois. Une revue annuelle simplifiée vérifie le maintien des engagements et l'absence de changement matériel (M&A, fin de certification, etc.).

Procédure de contestation

Contester une décision EJCI

Un fournisseur refusé, un client en désaccord avec une attribution, ou un tiers signalant un manquement peut déclencher une démarche de contestation. Trois étapes, décision publique.

1

Saisine écrite motivée

Email à label@nexthop.fr avec le numéro de dossier ou le nom du candidat, le motif de contestation, et les pièces justifiant la démarche. Accusé de réception sous 5 jours ouvrés.

2

Instruction contradictoire

Le secrétariat EJCI informe le candidat concerné, recueille sa réponse écrite (15 jours), puis transmet le dossier complet au comité. Audition contradictoire si demandée par l'une des parties.

3

Décision motivée publiée

Le comité rend une décision motivée sous 60 jours. La décision est publiée avec les motifs principaux, y compris en cas de rejet de la contestation. Aucun recours interne au-delà.

Versions

Versioning du label

v1.02026-Q4Publication initiale du label EJCI, critères complets publiés à /label-ejci/criteres [TODO page criteres à créer dans un sprint dédié].

Chaque version majeure du label sera publiée ici avec les changements de barème, l'évolution des réflexes attendus et la durée de validité des labels déjà attribués sous la version précédente.

Ressources

Aller plus loin

Cette grille est inspirée du « Guide d'hygiène informatique » de l'ANSSI (42 mesures pour la sécurité des systèmes d'information) et de la doctrine cloud souverain française (SecNumCloud, doctrine « cloud au centre »).

Vous voulez un repère précis sur votre posture ? Notre observatoire scorent en permanence les fournisseurs du marché : utile pour vous comparer à vos pairs avant tout choix d'architecture.