La Direction générale de la sécurité intérieure (DGSI) alerte sur les vulnérabilités liées à l’usage d’applications et de logiciels étrangers. Des outils devenus indispensables, mais qui exposent les organisations à des risques techniques, juridiques et stratégiques encore largement sous-évalués.
Une banalisation des usages qui masque le risque
“Messageries instantanées, logiciels de visioconférences, stockage de données en ligne, outils d’intelligence artificielle ou encore logiciels de planification des ressources d’entreprise” : les applications étrangères structurent désormais le quotidien numérique des organisations. Leur adoption s’impose souvent comme une évidence, portée par leur efficacité, leur ergonomie et, parfois, leur caractère incontournable dans les échanges internationaux.
C’est précisément cette banalisation que la DGSI questionne. Dans son document, elle rappelle que ces solutions « peuvent constituer des vulnérabilités, régulièrement sous-estimées par leurs utilisateurs ». Loin d’un simple enjeu technique, l’usage de ces outils s’inscrit dans une problématique plus large, à la croisée de la cybersécurité, de la confidentialité et de la sécurité économique. Ces risques restent souvent invisibles au moment du déploiement, intégrés dans des usages perçus comme neutres.
Des outils du quotidien aux vecteurs d’ingérence
La DGSI documente plusieurs cas concrets illustrant ces risques.
Une entreprise française, contrainte d’adopter un logiciel étranger pour simplifier ses démarches à l’export, découvre après analyse qu’une seconde application s’est installée à son insu. Ce programme, dissimulé, introduit des vulnérabilités dans le système et permet une surveillance continue du réseau interne, allant jusqu’à exécuter des tâches à distance.
Dans un autre contexte, des salariés en déplacement se voient imposer l’installation d’une application locale, présentée comme indispensable à leur séjour. Derrière cette fonctionnalité apparente, l’outil exige un accès étendu aux données des appareils, ouvrant la voie à une captation potentielle d’informations sensibles.
Finalement, des outils conçus pour faciliter les opérations deviennent des points d’entrée privilégiés dans les systèmes d’information.
Données, juridictions : un risque qui dépasse le cyber
Au-delà des failles techniques, la DGSI insiste sur un angle souvent négligé : celui de la localisation et du contrôle des données.
Lorsqu’une entreprise utilise une solution étrangère, les informations échangées peuvent être stockées sur des serveurs situés hors du territoire national. Elles deviennent alors accessibles au fournisseur, mais aussi aux autorités du pays d’implantation. La conséquence est directe : l’entreprise peut se retrouver soumise à un cadre juridique étranger, sans même y être implantée.
Dans le cas d’un sous-traitant engagé sur un projet stratégique, l’utilisation d’une solution étrangère pour l’ensemble des échanges expose ainsi des données sensibles, y compris des procédés industriels. Un risque qui déborde largement le périmètre de l’entreprise concernée et peut affecter l’ensemble de sa chaîne de partenaires.
Repenser les usages sans renoncer aux outils
La DGSI ne remet pas en cause le recours à ces solutions, souvent incontournable. Elle appelle en revanche à un changement de posture. Comme l’ANSSI qui mettait d’ailleurs en garde contre l’utilisation des agents IA en entreprise.
Évaluer la fiabilité des fournisseurs, encadrer strictement les usages, limiter les accès aux données, distinguer les niveaux de sensibilité des informations : autant de mesures destinées à reprendre le contrôle sur des outils devenus structurants. L’institution invite également à privilégier, lorsque cela est possible, des solutions nationales ou des hébergements localisés en France, ainsi que des applications certifiées par des organismes reconnus.
