Cyberguerre, sanctions et souveraineté : quand la géopolitique devient une faille de sécurité

Nous avons vu des pirates informatiques soutenus par des États paralyser des réseaux électriques pour plonger des villes dans le noir, paralyser les réseaux hospitaliers à l’aide de ransomwares (provoquant même des retards dans les soins pouvant mettre des vies en danger ) et détourner des médias pour diffuser de la propagande et de la désinformation. Une analyse récente de l’UE a révélé que près de 66 % des attaques DDoS (déni de service) recensées en 2022–2023 étaient motivées par des raisons politiques – souvent des représailles ou des sanctions dans le cadre de conflits internationaux.

En substance, le cyberespace est devenu un nouveau champ de bataille où les intérêts nationaux s’affrontent sans tenir compte des frontières. Cette convergence entre géopolitique et sécurité informatique soulève une question urgente pour chaque organisation : dans quelle mesure votre système informatique est-il résilient sur le plan géopolitique ? Si un conflit éclate ou si des sanctions frappent un fournisseur, vos activités commerciales résisteront-elles au choc ? 

Pourquoi la géopolitique est désormais un enjeu informatique 

Les tensions politiques ne concernent pas uniquement les diplomates ; elles ont désormais un impact direct sur les réseaux et les données des entreprises.  

La souveraineté numérique est un concept clé : il s’agit de contrôler ses propres données et son infrastructure technologique afin qu’elles ne soient pas exposées à des ingérences étrangères. La souveraineté des données signifie que celles-ci sont soumises à la législation du pays où elles sont stockées. Si les données de vos clients ou vos charges de travail critiques résident sur des serveurs situés dans un autre pays, elles relèvent de la juridiction de ce pays et pourraient être exposées à des risques ou faire l’objet de restrictions en raison de mesures géopolitiques.  

Par exemple, les décideurs politiques européens s’inquiètent de plus en plus de la forte dépendance vis-à-vis des fournisseurs cloud de technologies basés aux États-Unis, craignant que cela ne menace l’indépendance numérique de l’Europe. De même, de nombreux pays redoutent que la dépendance vis-à-vis de fournisseurs étrangers de télécommunications ou de matériel informatique (qu’ils soient américains, chinois ou autres) ne devienne un handicap stratégique en cas de détérioration des relations internationales. Ces préoccupations alimentent les appels en faveur d’un contrôle plus local sur les données et les technologies – en substance, il ne faut pas mettre tous ses œufs informatiques dans le même panier. Même Jensen Huang, fondateur de Nvidia, a déclaré lors du salon Vivatech 2025 : « Vous ne pouvez pas vous permettre d’externaliser votre intelligence ».  

La géopolitique met également en évidence les vulnérabilités de la chaîne d'approvisionnement mondiale dans le domaine des technologies de l'information. Les entreprises modernes s'appuient sur un réseau complexe de logiciels, de matériel informatique et de cloud provenant du monde entier. Si un maillon de cette chaîne est compromis que ce soit par une attaque soutenue par un État ou par une interdiction d'exportation –, cela peut entraîner une perturbation en cascade à l'échelle mondiale. 

Un retour dans le temps 

La célèbre cyberattaque NotPetya de 2017 en est un parfait exemple : il s’agissait d’une attaque par un logiciel malveillant d’origine militaire russe visant l’Ukraine, qui a rapidement dépassé sa cible initiale et paralysé des entreprises à travers le monde, des hôpitaux américains à un géant du transport maritime en passant par une société pharmaceutique, causant plus de 10 milliards de dollars de dommages à l’échelle mondiale. Ce qui avait commencé comme une cyberguerre locale s’est rapidement transformé, selon les termes d’un responsable américain, en « l’équivalent de l’utilisation d’une bombe nucléaire pour remporter une petite victoire tactique », illustrant ainsi comment une attaque à motivation politique peut, par inadvertance, dévaster des entreprises ordinaires sur tous les continents. 

Même en temps de paix, les organisations constatent cette tendance : près de 60 % des entreprises indiquent que leur stratégie de cybersécurité est désormais influencée par les tensions géopolitiques, et 16 % ont même changé de fournisseurs ou de partenaires technologiques en conséquence (par exemple, en évitant les logiciels provenant de certains pays ou en diversifiant cloud ). Les rapports sur les menaces montrent également que le volume global des cyberattaques est en forte hausse dans un contexte d’instabilité mondiale : l’année 2024 a enregistré 3 541 incidents majeurs à l’échelle mondiale, soit une augmentation de 27,4 % par rapport à l’année précédente.  

L'Italie, par exemple, est devenue un épicentre : elle a subi 10 % de l'ensemble des cyberattaques mondiales en 2024 et a été la cible d'environ 80 attaques à motivation géopolitique (soit 29 % des incidents de ce type recensés dans le monde) rien que cette année-là.  

En résumé 

La géopolitique est désormais un enjeu informatique, car les nations adversaires peuvent recourir – et ne manqueront pas de le faire – à des moyens numériques pour exercer des pressions. Qu’il s’agisse d’espionnage, de sabotage ou de campagnes d’influence, les entreprises risquent de se retrouver prises entre deux feux, surtout si leurs données, leurs fournisseurs ou leurs infrastructures sont liés à une région en proie à des troubles.  

Conscientes de cela, les entreprises doivent évaluer leur exposition au risque géopolitique : quelle législation s'applique à vos données ? Quels fournisseurs pourraient être soumis à des sanctions ? Un conflit lointain pourrait-il paralyser vos systèmes critiques ? Ces questions doivent désormais figurer à l'ordre du jour de tous les DSI et RSSI. 

Ce qu'exige désormais la réglementation 

Partout dans le monde, les gouvernements ne restent pas les bras croisés. Sous l’impulsion d’incidents très médiatisés et d’une escalade des menaces, de nouvelles réglementations entrent en vigueur pour renforcer la cybersécurité et la résilience, assorties de sanctions réellement dissuasives. L’Union européenne, en particulier, a adopté plusieurs réglementations majeures visant à consolider les défenses face aux risques géopolitiques. En voici quelques exemples marquants : 

Directive NIS2 

Une mise à jour de la directive européenne relative à la sécurité des réseaux et de l’information, la NIS2, élargit considérablement le champ d’application des obligations en matière de cybersécurité. Elle couvre désormais un large éventail d’entités « essentielles » et « importantes » dans divers secteurs (énergie, santé, transports, secteur bancaire, technologies, secteur public, etc.). Les entreprises concernées doivent mettre en œuvre des mesures strictes de gestion des risques et signaler les incidents cybernétiques majeurs dans des délais très courts (jusqu’à 24 heures pour la notification initiale dans certains cas). 

La directive NIS2 impose également une responsabilité au plus haut niveau : la direction d'une entreprise peut être tenue pour responsable en cas de manquement à ses obligations en matière de sécurité. Il est important de noter que tout manquement à ces obligations entraînera, pour les entités essentielles, des amendes lourdes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial (le montant le plus élevé étant retenu).  

En résumé, la directive NIS 2 oblige les organisations à renforcer leur dispositif de cybersécurité (des contrôles techniques jusqu’à la supervision au niveau du conseil d’administration) sous peine de sanctions. Elle vise à établir un niveau de résilience de référence dans toute l’Union européenne, en partant du principe qu’un seul maillon faible peut mettre en danger l’ensemble du réseau. 

DORA (loi sur la résilience des opérations numériques) 

Entrant en vigueur en janvier 2025 dans l'Union européenne, le règlement DORA vise à renforcer la résilience du secteur financier. Il s'applique aux banques, aux compagnies d'assurance, aux sociétés d'investissement, ainsi qu'aux fournisseurs de technologies de l'information et de la communication (TIC) essentiels qui leur fournissent des services. Le règlement DORA impose à ces entités de disposer de plans de continuité d'activité et de reprise après sinistre solides, de réaliser régulièrement des tests de résistance numériques et de gérer de près les risques liés aux fournisseurs de technologies tiers. 

La surveillance réglementaire va s’intensifier : par exemple, les fournisseurs cloud de logiciels « critiques » pour les banques pourraient être soumis à une supervision directe des autorités européennes. Les sanctions prévues par la DORA sont également lourdes, et les États membres de l’UE doivent imposer des sanctions « efficaces, proportionnées et dissuasives » en cas d’infraction. Cela pourrait inclure des amendes administratives, des injonctions de mise en conformité, voire des sanctions à l’encontre des dirigeants, à l’instar de la directive NIS2. 

Il convient notamment de noter que les fournisseurs clés du secteur des TIC qui ne respectent pas les exigences de la loi DORA s'exposent à des amendes journalières pouvant atteindre 1 % de leur chiffre d'affaires quotidien moyen à l'échelle mondiale jusqu'à ce que les problèmes soient résolus. 

Loi européenne sur l'IA 

Bien qu’il ne s’agisse pas d’une loi purement axée sur la sécurité, la future loi sur l’intelligence artificielle comporte un volet consacré à la souveraineté et à la sécurité. Cette législation européenne historique (dont l’adoption est prévue en 2024) réglementera les systèmes d’IA, en particulier les utilisations « à haut risque » (telles que l’IA dans les infrastructures critiques, les soins de santé ou les forces de l’ordre). Les entreprises qui déploient ce type d’IA devront réaliser des évaluations des risques, garantir un contrôle humain et être en mesure d’expliquer et de maîtriser les décisions prises par leur IA.  

En quoi cela est-il important sur le plan géopolitique ? Parce que la loi sur l’IA reflète également la volonté de l’Europe de renforcer sa souveraineté numérique, en réduisant la dépendance incontrôlée vis-à-vis des technologies d’IA étrangères et en prévenant les utilisations abusives (notamment par des régimes autoritaires ou à des fins malveillantes). La loi prévoit des sanctions sévères en cas de non-respect. Par exemple, l’utilisation de systèmes d’IA interdits ou la violation des exigences en matière de données pourrait entraîner des amendes pouvant atteindre 30 à 35 millions d’euros ou 6 à 7 % du chiffre d’affaires annuel mondial, ce qui est encore plus élevé que les amendes prévues par le RGPD.  

L'importance des enjeux souligne la volonté d'établir une norme mondiale en matière d'IA fiable. Les entreprises du monde entier qui opèrent en Europe (ou qui ont une clientèle européenne) devront en effet se conformer à ces règles, ce qui stimule les investissements dans la mise en conformité et la gestion des risques liés à l'IA.  

Réglementations hors de l'UE 

Partout dans le monde, des mesures similaires sont en cours : des États-Unis, qui renforcent la réglementation en matière de cybersécurité des infrastructures critiques, à des pays comme la Chine, qui appliquent des lois strictes en matière de localisation des données et de contrôle de sécurité. Pour les entreprises, cela se traduit par un défi croissant en matière de conformité : elles doivent non seulement se défendre contre les menaces, mais aussi s'y retrouver dans un dédale de réglementations en constante évolution en matière de cybersécurité. Tout manquement à l'une ou l'autre de ces obligations peut entraîner des violations dévastatrices et des sanctions réglementaires.  

Le trio constitué par la directive NIS2, la directive DORA et la loi sur l’IA incarne la nouvelle ère de la sécurité axée sur la conformité, dans laquelle les gouvernements incitent activement les organisations à renforcer leur résilience et sanctionnent celles qui ne sont pas à la hauteur. Pour les entreprises, cela signifie investir dès maintenant dans la gouvernance, les processus de signalement et les contrôles, plutôt que de se démener après un incident ou une amende. (Par exemple, en vertu de la directive NIS2, vous devrez disposer de procédures permettant de signaler un incident dans les 24 heures, ce qui est difficile à improviser sur le moment.) Prendre de l’avance sur ces réglementations peut devenir un avantage concurrentiel, en prouvant à vos clients et partenaires que vous prenez la sécurité au sérieux dans un monde en pleine turbulence. 

Stratégies de résilience pour les entreprises 

Face à cette convergence entre risques cybernétiques et géopolitiques, que peuvent faire les entreprises ? L'objectif est de renforcer leur résilience. Cela va au-delà de la simple cybersécurité et passe par la mise en place d'un dispositif solide de continuité d'activité et par des choix architecturaux flexibles. Voici les principales stratégies à envisager : 

• Adoptez une infrastructurecloud distribuée : ne misez pas l’avenir de votre entreprise sur un seul cloud ou un seul centre de données. En répartissant vos charges de travail sur plusieurs cloud ou en les hébergeant dans plusieurs centres de données (et, idéalement, dans différentes régions), vous réduisez considérablement le risque qu’un seul incident vous mette complètement hors ligne. Unecloud bien mise en œuvre garantit que, même si un fournisseur subit une panne ou est victime d’une attaque, vos services restent opérationnels ailleurs. 
• Diversifier les fournisseurs et les chaînes d’approvisionnement : tout comme les investisseurs prudents diversifient leurs portefeuilles, les entreprises résilientes diversifient leurs fournisseurs de technologies. S’appuyer de manière excessive sur un seul éditeur de logiciels, fabricant de matériel informatique ou opérateur de télécommunications peut s’avérer dangereux si ce fournisseur se retrouve impliqué dans un conflit géopolitique ou fait l’objet de sanctions. En recourant à plusieurs fournisseurs (et en veillant à ce qu’aucun composant critique ne provienne exclusivement d’une région à haut risque), vous réduisez votre exposition au risque.  
• Investissez dans la planification de la continuité des activités : les défenses technologiques ne suffisent pas à elles seules ; les organisations ont besoin de plans solides de continuité des activités (CA) et de reprise après sinistre qui tiennent compte des scénarios de cyberguerre et des perturbations géopolitiques. Un plan de continuité des activités doit répondre à la question suivante : « Si X tombe en panne, comment continuons-nous à fonctionner ? », que X désigne un centre de données, un cloud ou une chaîne d’approvisionnement. Assurez-vous que ces plans couvrent les cas extrêmes tels que des coupures Internet prolongées, des ransomwares paralysant les systèmes ou l’indisponibilité de personnel clé. 

En mettant en œuvre ces stratégies, les entreprises peuvent considérablement réduire le « déficit de sécurité » engendré par la géopolitique. Il est impossible d’empêcher un État-nation de lancer une cyberattaque, mais il est possible de renforcer la sécurité de votre environnement de sorte que, même si vous êtes pris pour cible ou subissez des dommages collatéraux, vous puissiez vous remettre rapidement avec un minimum de conséquences. La résilience est le nouvel avantage concurrentiel à une époque où le chaos et les exigences de conformité ne cessent de croître. 

Getronics, votre filet de sécurité 

Mettre en place et maintenir l'ensemble des capacités susmentionnées peut s'avérer une tâche ardue. C'est là qu'intervient un partenaire expérimenté tel que Getronics. Fort de plusieurs décennies d'expertise en cybersécurité et en services informatiques, Getronics offre un filet de sécurité aux organisations confrontées à des défis complexes en matière de sécurité. 

Aujourd'hui, nous disposons d'une équipe internationale composée de plus de 3 700 professionnels répartis dans 20 pays, qui accompagne des clients dans plus de 180 pays à travers le monde. Grâce à notre envergure et à notre expertise, nous maîtrisons les spécificités locales, qu'il s'agisse de la réglementation européenne ou des acteurs malveillants régionaux, et sommes en mesure d'assurer une couverture 24 heures sur 24, 7 jours sur 7, partout dans le monde. 

Ce que nous proposons 

Getronics propose des solutions complètes de sécurité et de continuité, conçues sur mesure pour aider votre entreprise à faire face aux risques géopolitiques et à respecter les exigences réglementaires. Nos services vont de l’évaluation complète des risques et du conseil en conformité à la surveillance des menaces 24 h/24 et 7 j/7, en passant par une intervention rapide en cas d’incident. Concrètement, cela signifie que nous pouvons auditer votre environnement informatique afin d’identifier les vulnérabilités ou les problèmes de souveraineté, vous conseiller sur la mise en conformité avec des législations telles que la directive NIS2 ou le règlement DORA, et mettre en œuvre les mesures de protection nécessaires. 

Grâce à nos services de centre d'opérations de sécurité (SOC), nous assurons une surveillance permanente de votre environnement, en détectant les intrusions, en recherchant activement les menaces et en réagissant immédiatement aux incidents afin de limiter les dégâts. Nous vous aidons également à élaborer et à tester des plans de continuité d'activité et de reprise après sinistre, afin de garantir que votre organisation soit prête à faire face à toute situation imprévue. Tous ces services sont fournis conformément aux meilleures pratiques et aux référentiels du secteur (tels que le NIST et la norme ISO 27001) et peuvent être adaptés à votre secteur d'activité et à votre juridiction spécifiques. 

En fin de compte, un partenariat avec Getronics vous permet de bénéficier d’un véritable prolongement de votre équipe, qui apporte insight stratégique, une expertise technique et une vigilance permanente pour protéger votre entreprise. Nous mettons un point d’honneur à établir des relations de confiance et à assurer une continuité à long terme avec nos clients. Dans un contexte où les menaces sont mondiales et constantes, disposer d’un partenaire qui a « tout vu » peut faire la différence entre une activité normale et une situation de crise. 

Agissez dès maintenant pour renforcer votre résilience géopolitique 

Dans un monde où les menaces numériques ne connaissent pas de frontières nationales, les entreprises doivent prendre conscience que la sécurité ne s'arrête pas aux frontières de leur pays – pas plus que leur infrastructure informatique. Votre réseau, vos données et vos processus s’étendent probablement à plusieurs pays et continents, tout comme les risques. L’intersection entre la cyberdéfense et la géopolitique constitue aujourd’hui l’une des plus grandes failles de sécurité – mais c’est une faille que vous pouvez combler grâce à une approche adaptée et à des partenaires de choix. En vous tenant informé, en investissant dans la résilience et en vous associant à des experts tournés vers l’avenir, vous transformez une vulnérabilité potentielle en atout. 

Getronics vous invite à franchir une nouvelle étape pour renforcer votre stratégie de défense et de continuité des activités. N’hésitez pas à prendre rendez-vous avec nos experts pour un audit de sécurité approfondi ou un examen de votre stratégie de continuité des activités. Nous vous aiderons à évaluer la résilience géopolitique réelle de votre infrastructure informatique, à identifier les éventuels maillons faibles et à élaborer une feuille de route visant à renforcer vos défenses de bout en bout. 

Contactez Getronics pour planifier un entretien et vous assurer que, en matière de cybersécurité et de souveraineté, votre entreprise garde toujours une longueur d'avance. Assurer la continuité de vos activités, votre conformité et votre tranquillité d'esprit, telle est notre mission. Atteignons ces objectifs ensemble.