À la suite de l’annonce de l’Élysée sur les 4,5 milliards d’euros d’achats publics dans le numérique, Thomas Kerjean, ex-Directeur de la division Cloud et IA de Microsoft et actuel PDG de Mailinblack livre son analyse sur la souveraineté, la commande publique et les priorités industrielles françaises.
SNC : Considérez-vous cette annonce comme un véritable tournant stratégique pour la souveraineté numérique française, ou comme une mesure conjoncturelle ?
Thomas Kerjean : Nous avons échangé à deux reprises avec l’Elysée sur ce sujet et l’intention stratégique est très claire. Fondée sur une compréhension fine de la double dépendance de la France, cognitive d’une part (Meta, TikTok et X), industrielle d’autres part (hyperscalers cloud et IA, leaders mondiaux cybersécurité), l’Etat a pleinement saisi l’importance stratégique de maîtriser le numérique en France et en Europe.
L’Europe elle-même, par la voix de la Présidente de la Commission, semble être en train d’opérer un tournant à 180° en parlant d’une « préférence européenne », propos orthogonal à la construction européenne jusqu’ici, qui avait pour pilier économique central la libre concurrence. L’Europe aussi prend pleinement conscience, dans un contexte géopolitique tendu avec les Etats-Unis, du besoin criant de maîtriser deux choses fondamentales pour son avenir. Le cerveau futur de toutes ses chaînes de valeur industrielles : l’intelligence as a service ; et la cybersécurité de ce cerveau.
La commande publique peut-elle réellement structurer un écosystème industriel solide ?
T. K. : Les États-Unis raisonnent, depuis Roosevelt, de manière stratégique quant au leadership industriel, et ce en trois temps :
- Investissement massif en R&D sur un nombre limité de sujets stratégiques et sélection des meilleurs.
- Commande publique fléchée et sanctuarisation / incubation jusqu’à la taille critique. Internet est né des investissements publics américains dans la défense. SpaceX est né des commandes publiques de la NASA. En aucun cas les États-Unis n’auraient considéré moralement, patriotiquement bien au-delà de toute régulation, réellement mettre en concurrence un étranger sur ces thèmes.
- Expansion mondiale et lobbying gouvernemental.
La Chine raisonne, depuis Deng Xiaoping, de manière stratégique, exactement de la même manière que les États-Unis et suit exactement la même approche industrielle. Quant à l’Europe, elle doit cesser d’être l’idiot utile du village libérale. Dans son schéma industriel actuel, la France :
- Investit également en R&D mais devrait se recentrer sur moins de sujets : IA, Cybersécurité – en amont de ses industries phares : Aéronautiques, santé, etc. – La dispersion dénonce aussi un consensus à s’affirmer dans ses choix d’investissement plus clairement et exclusivement sur ce qui sera le moteur des industries de demain
- Aucune commande publique – permissivité totale d’achat de technologie étrangères dans nos hôpitaux, nos collectivités. Pour la cybersécurité par exemple, autorisation d’achat de technologies soumises au Patriot Act, Cloud Act, FISA, c’est-à-dire littéralement consultables par le gouvernement américain, mais plus grave encore, géré par des entités privées étrangères. Ce non choix entraîne une déperdition massive d’argent public : les scale-ups françaises et européennes sont rachetées par… des sociétés et des fonds américains, accroissant ainsi une dépendance stratégique à des étrangers, financés par les citoyens européens.
- Le sauvetage : Héroïques face aux procès intentés à leurs pépites, qui n’ont pas bénéficié de structuration financière, les gouvernements vont alors investir à nouveau pour tenter de sauver leurs investissements.
La commande publique est un outil ouvertement utilisé par les deux puissances mondiales. Si l’Europe souhaite aussi en redevenir une, il me semble impératif qu’elle joue avec les mêmes cartes.
Quels sont aujourd’hui les principaux freins à l’adoption de solutions françaises ou européennes par les administrations ?
T. K. : Je n’en vois pas. En ce qui concerne Mailinblack, nos logiciels de cybersécurité sont n°1 sur les centres hospitaliers en France, n°1 sur les collectivités. Cela s’explique par la performance de nos technologies, la robustesse de notre R&D en IA/cybersécurité. Il est clair que le fait de ne pas retenir la performance comme critère discriminant dans le financement public de solutions françaises et européennes doit être rigoureusement évité.
Le droit administratif français, respectueux des normes européennes de libre concurrence, fait actuellement courir un risque sécuritaire aux administrations. Le changer en stipulant explicitement que les administrations doivent sélectionner des technologies françaises, comme le recommande le ministre Jean-Noël Barrot, serait un accélérateur majeur à la montée en puissance d’une souveraineté numérique en cybersécurité.
Comment concilier ambition de souveraineté numérique et marché technologique globalisé ?
T. K. : Le numérique est triple : Cloud bien quantique, IA qui repose sur le cloud mais pas nécessairement, cybersécurité des clouds et IA.
Ce n’est pas parce que les hyperscalers AWS, Azure et GCP ont un leadership mondial sur le cloud computing qu’ils auront un leadership sur l’IA. Ils hébergent des IA. Mais les éditeurs d’IA vraiment prometteurs ne sont pas les GAFAM : Anthropic, OpenAI, MistralAI entraînent leurs modèles sur des cloud, mais leur valeur essentielle est l’algorithmie. Les chercheurs en IA dans les plus grands labo d’IA viennent en bonne partie de France, d’Europe.
La cybersécurité est également autonome sur les deux autres sujets. La nouvelle génération de cyberattaques est déjà portée à 40% par des IA et la déferlante agentique va poser une série de questions sur la gouvernance sécuritaire de ce nouveau paysage post-applicatif.
Le Cloud, donc la puissance de calcul, aujourd’hui massivement soumise aux lois extraterritoriales américaines est un sujet distinct à part entière. Offrir une souveraineté juridique avec SecNum est une bonne initiative. Elle n’offre toutefois pas encore une souveraineté technique : aucun acteur français ne peut en effet garantir l’absence de backdoor, même pas les acteurs souverains, dont les composants, les serveurs, les firmwares ne sont pas entièrement faits en France. C’est un risque d’espionnage, mais le fait de ne pas avoir de leader Cloud à échelle, n’est pas en soi un frein au leadership mondial à venir, dont le cloud ne sera que l’électricité.
Quelles conditions devront être réunies pour que ces 4,5 milliards d’euros produisent un impact durable ?
T. K. :
- Une vraie vision sur l’épine dorsale des maisons, voitures, trains, champs, hôpitaux, services… du futur.
- Une rigueur sur la sélection des meilleurs.
- Notre économie vit sur les acquis des grands projets industriels de l’après-guerre. Il est grand temps de recréer les infrastructures fondamentales de l’Europe du futur.
