← Observatoire de l'État
Méthodologie
L'observatoire mesure une exposition à la souveraineté, observable publiquement — où vivent réellement le site, ses applications, sa messagerie, son identité et son DNS. Ce n'est ni un audit de sécurité, ni un jugement de valeur : un état des lieux factuel à un instant donné.
100 % signaux publics
Sans accès interne
Sans LLM — déterministe
Sans cookie ni tracker côté visiteur
Comment l'observatoire scanne un site
Chaîne 100 % automatique, sans LLM, exécutée par des microservices dédiés (DNS/ASN, Chromium headless) et une file de jobs :
1
DNS + reverse
A/AAAA, NS, MX, TXT (SPF/DMARC), SOA, CAA + DNSSEC. Reverse DNS (PTR) et opérateur réel résolus sur chaque IP.
2
ASN / GeoIP
Chaque IP → opérateur (ASN) + pays (GeoIP hors-ligne, jamais throttlé). Souveraineté DNS réelle (NS sur AWS ?).
3
Sous-domaines (multi-sources)
Énumération sans compte tiers (RapidDNS, urlscan, HackerTarget + CT) → surface applicative réelle.
4
Origine derrière le CDN
Si le frontal est un CDN (Cloudflare/Akamai), on révèle l'infra réelle via les sous-domaines (provider dominant).
5
Cloud applicatif
Résolution + classification ASN de chaque sous-domaine → part de cloud sous droit US (façade vs réalité).
6
Messagerie + expéditeurs
Score sur le MX (où vivent les boîtes). Expansion SPF : on résout les relais d'envoi (Mailjet, Eloqua US…), informatif.
7
Identité (SSO)
Sondes publiques : Microsoft Entra (corroboré par les signaux M365), Google, AWS IAM, OIDC auto-hébergé.
8
Trackers (Chromium)
Chargement de l'accueil en navigateur headless, consentement accepté → domaines tiers sous juridiction US.
9
Score + verdict
Chaîne de dépendance reconstruite (preuve + criticité + pays de contrôle) → 6 sous-scores → score & verdict.
Le score & les 6 sous-scores
Le score global (0–100) agrège les dépendances réellement mesurées, pondérées par la criticité du composant. Un critère non audité est exclu du dénominateur (le score porte sur ce qui est observé).
Pondérations (axe souveraineté)
Hébergement frontal
25%
Cloud applicatif
25%
Messagerie (MX)
15%
Identité (SSO)
15%
DNS (opérateur)
10%
Trackers
10%
Six sous-scores complètent la lecture : juridique, données, technique, identité, opérationnel, réversibilité. Les deux derniers reposent sur des éléments non observables de l'extérieur : ils restent marqués « non observable ».
≥ 70
Chaîne largement souveraine
35 – 69
Dépendances à réduire
< 35
Fortes dépendances extra-UE
Sécurité ≠ souveraineté
L'hygiène technique (DNSSEC, DMARC, SPF) est affichée dans un volet « Sécurité » séparé, HORS du score : un DNS non signé ne rend pas un organisme « non souverain ». À l'inverse, un bon niveau de sécurité ne garantit pas la souveraineté juridique.
La messagerie est notée sur le MX (où vivent les boîtes), pas sur le SPF : un expéditeur SPF Google ≠ une messagerie hébergée chez Google.
Niveaux de preuve & confiance
Chaque donnée porte un niveau de confiance (forte / moyenne / faible) et un type de preuve :
Constaté techniquement
lu directement (IP, MX, NS, scripts, certificats)
Déduit
inféré (origine derrière CDN, classification ASN)
Déclaratif
fourni par l'organisation ou le fournisseur
Non observable
non déterminable depuis l'extérieur
Pourquoi « hébergé en France » ne suffit pas
Un hébergement géolocalisé en Europe mais contrôlé par une maison mère extra-européenne (AWS, Azure, GCP, Cloudflare…) reste exposé aux lois extraterritoriales (CLOUD Act, FISA 702). C'est pourquoi l'observatoire fait primer le contrôle juridique sur la géolocalisation, et révèle l'infra réelle derrière les CDN (la façade « neutre » masque souvent un cloud sous droit US).
Limites de l'analyse
Certaines informations critiques ne sont pas observables publiquement et ne sont donc jamais affirmées : localisation exacte des bases, sauvegardes, logs, clés de chiffrement, accès support/administrateur, entité contractante, sous-traitants non exposés, architecture interne.
L'énumération de sous-domaines peut rester partielle pour un site 100 % derrière un CDN (aucun sous-domaine ne le contourne) — on l'affiche honnêtement « non révélé » plutôt que d'inventer.
Fréquence des scans
Rafraîchissement complet hebdomadaire, plus un scan à chaque ajout. La date du dernier scan est affichée sur chaque fiche, et l'évolution du score est historisée.
Corrections & droit de réponse
Toute organisation peut transmettre des éléments vérifiables pour corriger ou compléter sa fiche (certifications, localisation des données, sous-traitants critiques, gestion des clés, réversibilité). Le statut de validation est affiché, et la correction intégrée est tracée.
Nous contacter
L'absence de preuve publique de souveraineté n'est pas une preuve de non-souveraineté complète, mais elle réduit le niveau de confiance attribuable depuis une analyse externe.