Périmètre
~250 organismes publics français répartis en 5 catégories : ministères & administrations centrales, opérateurs de l'État, entreprises publiques (portefeuille APE, groupe Caisse des Dépôts, filiales La Poste dont Docaposte, Bpifrance…), collectivités territoriales (régions, métropoles, grandes villes) et hôpitaux (CHU/CHR, AP-HP, HCL, AP-HM).
Sources
• Annuaire de l'administration (lannuaire.service-public.fr) et gouvernement.fr pour les ministères et directions.
• Liste des opérateurs de l'État (jaune budgétaire / data.gouv.fr).
• Portefeuille de l'Agence des participations de l'État (APE) et groupe Caisse des Dépôts.
• Listes officielles des régions, métropoles et CHU.
Pipeline de collecte
Pour chaque domaine, à partir de données strictement publiques :
1. Résolution DNS (A/AAAA/NS/MX/TXT/SOA/CAA + _dmarc) et signature DNSSEC (via résolveur validant DoH).
2. Mapping IP → ASN / organisation / pays via ipinfo puis plages IP officielles AWS/GCP/Cloudflare.
3. Classification du provider frontend, mail (MX) et DNS (NS).
4. Révélation de l'origine derrière les CDN : probing de sous-domaines + énumération Certificate Transparency (crt.sh).
5. Empreinte carbone : intensité du grid électrique (gCO₂eq/kWh) de la région cloud ou du pays détecté (Electricity Maps + Ember 2024).
Lecture souveraineté
« Hébergé en France » = IP frontale géolocalisée en FR. « UE » = pays membre. « Hébergeur souverain » = opérateur de droit FR/UE hors portée du CLOUD Act (OVHcloud, Scaleway, Outscale, Infomaniak…). Un CDN anycast (Cloudflare, Fastly) apparaît souvent en 🇺🇸 même quand l'origine est en France - d'où l'importance de la colonne « origine ».
Le critère DNS mesure la souveraineté de l'opérateur des serveurs de noms (FR/UE vs sous contrôle US comme Cloudflare ou Route 53), pas la signature DNSSEC. Souveraineté ≠ sécurité : DNSSEC, DMARC et SPF sont des signaux de sécurité (intégrité de la résolution, anti-usurpation) affichés dans un volet « Sécurité » distinct, hors score de souveraineté. Un DNS opéré en France mais non signé reste souverain.
La messagerie est jugée sur le MX (où résident les boîtes = la donnée), pas sur le SPF : autoriser Google/Microsoft à envoyer (alias) n'est pas héberger sa messagerie chez eux.
L'identité (SSO) est sondée indépendamment, par découverte publique Microsoft (GetUserRealm + OIDC), Google (MX) et AWS (portail IAM Identity Center). Un simple tenant Microsoft Entra ne suffit pas à conclure : on exige une corroboration d'usage workforce (MX Exchange Online, autodiscover, Intune, Teams). Un tenant à finalité applicative (publication sur le Microsoft Store, souscription Azure, compte partenaire) n'est pas compté comme dépendance d'identité. Une organisation fédérant Entra vers son propre IdP (ADFS/Keycloak) garde une identité souveraine.
Limites
Le domaine registrable est résolu via la Public Suffix List (les suffixes composés comme .gouv.fr sont correctement gérés : impots.gouv.fr, pas gouv.fr). La géo-IP d'un CDN ne reflète pas la localisation des données. L'absence de DNSSEC/DMARC n'implique pas une faille exploitable, mais signale une marge d'hygiène. Certains hébergeurs sur ASN gouvernementaux/de niche ne sont pas encore classés (« Inconnu »). Données rafraîchies périodiquement ; un organisme peut migrer entre deux scans.
Même moteur que notre audit French Tech, appliqué au secteur public.