Souvent abordée sous l’angle de l’hébergement et des infrastructures, la souveraineté numérique reste incomplète si l’on ignore la chaîne de fabrication logicielle. Outils de CI/CD, bibliothèques tierces, environnements de développement, IA générative : autant de dépendances invisibles qui fragilisent la maîtrise européenne. Pour Thibault Ingargiola, Architecte et Responsable de l’offre DevOps chez Klee Group, il est temps d’élargir le périmètre de la souveraineté aux pratiques mêmes de développement.
SNC : Pouvez-vous vous présenter et expliquer votre rôle chez Klee Group ?
Thibault Ingargiol : J’ai longtemps participé à la construction de systèmes d’information sur mesure pour nos clients, qu’il s’agisse de grandes entreprises ou d’acteurs publics. Au fil des projets, on développe une expertise sur la manière de concevoir, d’opérer et de sécuriser ces environnements de façon maintenable.
Chez Klee Group, nous avons toujours eu à cœur de limiter notre dépendance à des technologies externes et de proposer des alternatives. Bien sûr, ces solutions n’atteignent pas toujours le même niveau de service que les grands éditeurs américains, mais c’est un axe stratégique fort pour nous.
Aujourd’hui, je pilote l’offre DevOps, une offre de conseil qui aide nos clients à gagner en maturité sur les volets organisationnels, humains et technologiques. Et c’est en creusant ces sujets que j’ai réalisé à quel point la chaîne de fabrication logicielle constitue un angle mort de la souveraineté numérique.
Où se situe aujourd’hui cette dépendance la plus critique ?
T. I. : Il est techniquement possible de gérer soi-même une chaîne de développement souveraine, mais cela devient de plus en plus complexe. Les outils de CI/CD ou de gestion du code se sont énormément spécialisés et intègrent désormais des fonctions d’IA et de sécurité avancée.
Les maintenir à jour exige des compétences dédiées : ce n’est plus quelque chose qu’un simple développeur ou architecte peut faire “en plus”. Et à mesure que le nombre d’utilisateurs augmente, la mise à l’échelle demande encore d’autres expertises.
Dès qu’on fait le calcul du coût et du niveau de compétences requis, beaucoup d’entreprises préfèrent se tourner vers des plateformes managées… qui, pour la plupart, ne sont pas européennes.
Quels outils ou briques échappent encore à notre contrôle en Europe ?
T. I. : L’infrastructure elle-même reste le point faible. Les acteurs américains et chinois disposent d’une avance considérable : ils ont multiplié les datacenters et proposent des services intégrés, prêts à l’emploi.
En Europe, nous avons eu des initiatives intéressantes, mais souvent incomplètes ou trop tardives. Les services managés disponibles ne sont pas encore au niveau d’AWS ou d’Azure.
Cela dit, de nouveaux acteurs français et européens émergent et adoptent des approches plus directes, en s’appuyant sur Kubernetes ou des environnements cloud-native. On entre dans une phase de conquête : il y a de la vitalité, mais la bataille est loin d’être gagnée.
Peut-on parler de « DevOps souverain » comme on parle de « cloud souverain » ?
T. I. : C’est difficile. La chaîne logicielle implique tellement d’acteurs et de dépendances qu’il est presque impossible d’être 100 % souverain. Même en voulant l’être, il y aura toujours une brique logicielle étrangère quelque part.
L’enjeu, c’est d’en avoir conscience et de mesurer son exposition : si demain un fournisseur étranger ferme l’accès à ses services, que perd-on ? Que garde-t-on sous contrôle ?
Le vrai problème, c’est qu’une grande partie des entreprises européennes dépendent d’infrastructures américaines, même lorsque leurs données sont hébergées en Europe. On reste soumis à une juridiction étrangère, avec le risque de coupure ou d’accès imposé.
Quels risques concrets cela fait-il peser sur les entreprises ?
T. I. : Il y a d’abord un risque de sécurité : on peut injecter du code malveillant directement dans la chaîne de développement, comme on l’a vu récemment avec certaines attaques de type supply chain.
Il y a aussi des risques juridiques et économiques. Si une entreprise ne peut plus garantir la sécurité de son code, elle met en danger sa propriété intellectuelle et sa capacité à opérer.
Enfin, il existe un risque de dépendance stratégique : une décision politique ou commerciale à l’étranger peut, du jour au lendemain, couper l’accès à des outils critiques. Ce n’est pas théorique — cela s’est déjà produit.
L’IA générative de code ajoute-t-elle une nouvelle dépendance ?
T. I. : Pour moi, c’est un accélérateur, pas une révolution. Mais là où cela devient intéressant, c’est avec l’arrivée d’agents d’IA capables d’analyser tout le cycle de production.
Une IA pourrait, par exemple, détecter dès la conception des zones de code à risque ou évaluer l’impact d’une modification sur le reste du système. Ces usages-là sont prometteurs.
En revanche, sur la gouvernance et l’éthique de l’IA générative, il n’existe pas encore de cadre solide en France. Chacun expérimente un peu dans son coin, et les entreprises peinent à structurer leur approche.
Comment Klee Group intègre-t-il ces sujets dans ses propres pratiques ?
T. I. : Nous testons actuellement plusieurs outils open source pour mieux mesurer et encadrer l’usage de l’IA dans nos processus. L’idée, c’est d’évaluer qui utilise quoi, dans quel contexte, avant de bâtir une stratégie d’ensemble.
Mais tant qu’il n’y a pas de référentiel national ou européen de gouvernance de l’IA générative, chaque entreprise avance à son rythme.
Existe-t-il des alternatives européennes crédibles aux grands outils de CI/CD
T. I. : Pas vraiment à ce jour. GitLab reste la solution la plus complète et accessible, mais elle n’est pas européenne.
Les plateformes américaines ont une longueur d’avance en matière d’intégration et de communauté. Ce n’est pas la technologie elle-même qui est complexe, mais la capacité à rassembler tout un écosystème autour d’un même outil.
Il existe quelques initiatives open source intéressantes, mais elles restent limitées en fonctionnalités par rapport aux leaders du marché.
Que faudrait-il pour que la souveraineté logicielle devienne un vrai sujet politique ?
T. I. : Malheureusement, il faudra sans doute un incident majeur pour créer un électrochoc. C’est souvent ainsi que les prises de conscience se font.
Certains secteurs comme la défense ou le médical ont déjà cette culture de la maîtrise de bout en bout. On voit d’ailleurs les exigences de conformité évoluer, notamment dans les chantiers liés à la donnée de santé, où l’on commence à auditer aussi la chaîne de développement.
Mais la plupart des réglementations actuelles ne vont pas encore assez loin. Je pense que c’est une question de temps : les tensions géopolitiques et les dépendances révélées finiront par accélérer ce mouvement.
Les entreprises ont-elles conscience de ce risque ?
T. I. : Pas vraiment. Leur priorité reste souvent la migration vers le cloud et la réduction des coûts d’infrastructure. La question de la souveraineté de la chaîne logicielle reste encore perçue comme trop technique ou trop éloignée de leurs préoccupations immédiates.
