← Observatoire de l'État
Méthodologie
Périmètre
~250 organismes publics français répartis en 5 catégories : ministères & administrations centrales, opérateurs de l'État, entreprises publiques (portefeuille APE, groupe Caisse des Dépôts, filiales La Poste dont Docaposte, Bpifrance…), collectivités territoriales (régions, métropoles, grandes villes) et hôpitaux (CHU/CHR, AP-HP, HCL, AP-HM).
Sources
• Annuaire de l'administration (lannuaire.service-public.fr) et gouvernement.fr pour les ministères et directions.
• Liste des opérateurs de l'État (jaune budgétaire / data.gouv.fr).
• Portefeuille de l'Agence des participations de l'État (APE) et groupe Caisse des Dépôts.
• Listes officielles des régions, métropoles et CHU.
Pipeline de collecte
Pour chaque domaine, à partir de données strictement publiques :
1. Résolution DNS (A/AAAA/NS/MX/TXT/SOA/CAA + _dmarc) et signature DNSSEC (via résolveur validant DoH).
2. Mapping IP → ASN / organisation / pays via ipinfo puis plages IP officielles AWS/GCP/Cloudflare.
3. Classification du provider frontend, mail (MX) et DNS (NS).
4. Révélation de l'origine derrière les CDN : probing de sous-domaines + énumération Certificate Transparency (crt.sh).
5. Empreinte carbone : intensité du grid électrique (gCO₂eq/kWh) de la région cloud ou du pays détecté (Electricity Maps + Ember 2024).
Lecture souveraineté
« Hébergé en France » = IP frontale géolocalisée en FR. « UE » = pays membre. « Hébergeur souverain » = opérateur de droit FR/UE hors portée du CLOUD Act (OVHcloud, Scaleway, Outscale, Infomaniak…). Un CDN anycast (Cloudflare, Fastly) apparaît souvent en 🇺🇸 même quand l'origine est en France - d'où l'importance de la colonne « origine ».
Limites
Le domaine registrable est résolu via la Public Suffix List (les suffixes composés comme .gouv.fr sont correctement gérés : impots.gouv.fr, pas gouv.fr). La géo-IP d'un CDN ne reflète pas la localisation des données. L'absence de DNSSEC/DMARC n'implique pas une faille exploitable, mais signale une marge d'hygiène. Certains hébergeurs sur ASN gouvernementaux/de niche ne sont pas encore classés (« Inconnu »). Données rafraîchies périodiquement ; un organisme peut migrer entre deux scans.
Même moteur que notre audit French Tech, appliqué au secteur public.