Aller au contenu
NNextHop
Observatoire de l'État

Méthodologie

Sources officielles, pipeline de collecte DNS / ASN / crt.sh / DNSSEC, et limites de l'audit d'hébergement du secteur public.

Périmètre

~250 organismes publics français répartis en 5 catégories : ministères & administrations centrales, opérateurs de l'État, entreprises publiques (portefeuille APE, groupe Caisse des Dépôts, filiales La Poste dont Docaposte, Bpifrance…), collectivités territoriales (régions, métropoles, grandes villes) et hôpitaux (CHU/CHR, AP-HP, HCL, AP-HM).

Sources

• Annuaire de l'administration (lannuaire.service-public.fr) et gouvernement.fr pour les ministères et directions.

• Liste des opérateurs de l'État (jaune budgétaire / data.gouv.fr).

• Portefeuille de l'Agence des participations de l'État (APE) et groupe Caisse des Dépôts.

• Listes officielles des régions, métropoles et CHU.

Pipeline de collecte

Pour chaque domaine, à partir de données strictement publiques :

1. Résolution DNS (A/AAAA/NS/MX/TXT/SOA/CAA + _dmarc) et signature DNSSEC (via résolveur validant DoH).

2. Mapping IP → ASN / organisation / pays via ipinfo puis plages IP officielles AWS/GCP/Cloudflare.

3. Classification du provider frontend, mail (MX) et DNS (NS).

4. Révélation de l'origine derrière les CDN : probing de sous-domaines + énumération Certificate Transparency (crt.sh).

5. Empreinte carbone : intensité du grid électrique (gCO₂eq/kWh) de la région cloud ou du pays détecté (Electricity Maps + Ember 2024).

Lecture souveraineté

« Hébergé en France » = IP frontale géolocalisée en FR. « UE » = pays membre. « Hébergeur souverain » = opérateur de droit FR/UE hors portée du CLOUD Act (OVHcloud, Scaleway, Outscale, Infomaniak…). Un CDN anycast (Cloudflare, Fastly) apparaît souvent en 🇺🇸 même quand l'origine est en France - d'où l'importance de la colonne « origine ».

Le critère DNS mesure la souveraineté de l'opérateur des serveurs de noms (FR/UE vs sous contrôle US comme Cloudflare ou Route 53), pas la signature DNSSEC. Souveraineté ≠ sécurité : DNSSEC, DMARC et SPF sont des signaux de sécurité (intégrité de la résolution, anti-usurpation) affichés dans un volet « Sécurité » distinct, hors score de souveraineté. Un DNS opéré en France mais non signé reste souverain.

La messagerie est jugée sur le MX (où résident les boîtes = la donnée), pas sur le SPF : autoriser Google/Microsoft à envoyer (alias) n'est pas héberger sa messagerie chez eux.

L'identité (SSO) est sondée indépendamment, par découverte publique Microsoft (GetUserRealm + OIDC), Google (MX) et AWS (portail IAM Identity Center). Un simple tenant Microsoft Entra ne suffit pas à conclure : on exige une corroboration d'usage workforce (MX Exchange Online, autodiscover, Intune, Teams). Un tenant à finalité applicative (publication sur le Microsoft Store, souscription Azure, compte partenaire) n'est pas compté comme dépendance d'identité. Une organisation fédérant Entra vers son propre IdP (ADFS/Keycloak) garde une identité souveraine.

Limites

Le domaine registrable est résolu via la Public Suffix List (les suffixes composés comme .gouv.fr sont correctement gérés : impots.gouv.fr, pas gouv.fr). La géo-IP d'un CDN ne reflète pas la localisation des données. L'absence de DNSSEC/DMARC n'implique pas une faille exploitable, mais signale une marge d'hygiène. Certains hébergeurs sur ASN gouvernementaux/de niche ne sont pas encore classés (« Inconnu »). Données rafraîchies périodiquement ; un organisme peut migrer entre deux scans.

Même moteur que notre audit French Tech, appliqué au secteur public.