Après deux éditions réussies à Toulouse et Nantes en 2025, l’Hexagone Tour, organisé par Interstis Solutions et soutenu par la French Tech locale, a fait étape à Bordeaux, au sein de l’IPSSI (école de cybersécurité et d’informatique) pour une matinée d’échanges entre experts, élue et acteurs locaux autour des enjeux — plus que jamais actuels — de souveraineté numérique et de cybersécurité. Cette nouvelle rencontre, qui en appellera d’autres, a ouvert le dialogue et permis de réfléchir collectivement à la manière de reprendre le contrôle de nos outils et de nos données numériques. En présence de l’écosystème local (entreprises, collectivités, etc.), les échanges ont permis d’y voir plus clair sur ces sujets.
Animée par : Mathieu Candel, Responsable communication d’Interstis Solutions
Intervenant(e)s : Marlène Le Dieu De Ville, Vice-Présidente Numérique à Intercommunalités de France et membre des « Interconnectes » et Thomas Balladur, fondateur d’Interstis Solutions et dirigeant du consortium Hexagone
La table ronde s’est ouverte sur la notion de souveraineté numérique, présentée comme la capacité d’un État, ou plus largement d’un ensemble politique comme l’Union européenne, à conserver sa liberté d’action dans le domaine numérique. Thomas Balladur a insisté sur une lecture structurée de cette souveraineté en trois niveaux complémentaires : la localisation des données, l’identité de l’opérateur qui exploite les systèmes, et la maîtrise des technologies. Il a souligné que se limiter au seul critère géographique est insuffisant, dans la mesure où des entreprises étrangères opérant en Europe restent soumises aux lois de leur pays d’origine, ce qui peut compromettre l’indépendance réelle des données.
« La souveraineté numérique c’est un ensemble de trois strates : la première, la localisation des données, la deuxième, l’identité de l’opérateur des systèmes et la troisième, qui maîtrise la technologie ». Thomas Balladur, fondateur d’Interstis Solutions et dirigeant du consortium Hexagone
Dans cette perspective, la question de l’extraterritorialité est apparue centrale. Marlène Le Dieu De Ville a mis en lumière les risques associés à des législations comme le Cloud Act ou le FISA, qui permettent notamment aux États-Unis, d’accéder à des données hébergées par leurs entreprises, y compris en dehors de leur territoire. Elle a insisté sur le décalage entre la perception de sécurité, souvent fondée sur le respect du cadre européen comme le RGPD, et la réalité juridique, qui expose les données à des ingérences extérieures. Cette situation est d’autant plus préoccupante que de nombreuses collectivités et organisations publiques restent peu informées de ces mécanismes.
Les échanges ont également mis en évidence les contradictions des politiques publiques. D’un côté, l’État affiche une volonté de renforcer la souveraineté numérique, notamment à travers des dispositifs législatifs comme la loi SREN ou des initiatives de sensibilisation. De l’autre, certaines décisions continuent de renforcer la dépendance aux solutions étrangères, notamment dans des secteurs sensibles comme l’éducation ou la santé. Ces incohérences s’expliquent en partie par la complexité des structures administratives, le manque de coordination entre acteurs, mais aussi par un déficit de culture numérique au sein des décideurs publics.
Dans ce contexte, une prise de conscience semble néanmoins émerger. Les intervenants ont souligné que le sujet, encore marginal il y a quelques années, est désormais largement partagé, y compris au niveau politique où il fait l’objet d’un consensus croissant. Thomas Balladur a évoqué un moment de bascule, marqué par des évolutions géopolitiques récentes, qui ont révélé la dépendance européenne aux grandes puissances technologiques. Si certaines réponses restent encore transitoires, comme les offres hybrides mêlant technologies étrangères et opérateurs locaux, la réflexion évolue vers une recherche plus affirmée d’autonomie technologique.
Le projet « Tie-Break » – notamment porté par l’élu montpelliérain Manu Reynaud – illustre cette dynamique. Porté par des acteurs des collectivités au sein de l’association « Les Interconnectés » il vise à accompagner une trajectoire d’indépendance numérique en commençant par un travail de diagnostic. L’objectif est de rendre visibles les dépendances économiques, notamment vis-à-vis de solutions extra-européennes, puis de définir des critères permettant d’orienter les choix vers des alternatives plus souveraines. Au-delà de la dimension technique, la démarche entend structurer une véritable stratégie collective, intégrant des enjeux de cybersécurité, d’interopérabilité, d’accessibilité et de gouvernance des données.
« Tie Break est né au Forum des Interconnectés en 2025. Les Interconnectés travaillent sur de nombreux enjeux numériques (inclusion, sobriété, cybersécurité, indépendance). Tie Break, lui, porte spécifiquement une trajectoire d’indépendance numérique, visant à sensibiliser les collectivités à leur dépendance, notamment économique. »
Marlène Le Dieu De Ville, Vice-Présidente au Numérique à Intercommunalités de France et membre des « Interconnectés »
Enfin, la question des alternatives a été abordée, en réponse à l’idée souvent avancée qu’il n’existerait pas de solutions souveraines crédibles. Thomas Balladur a reconnu la difficulté du changement, liée à des habitudes profondément ancrées et à une formation largement construite autour des outils des grands acteurs américains. Il a toutefois affirmé que des alternatives existent bel et bien, déjà déployées à grande échelle, mais qu’elles nécessitent un accompagnement et une conduite du changement adaptés.
En conclusion, les discussions ont mis en évidence que la souveraineté numérique ne se limite pas à une question technique, mais constitue un enjeu stratégique, à la croisée du politique, de l’économique et du culturel. Sa mise en œuvre suppose non seulement des choix technologiques, mais aussi une montée en compétence des acteurs publics, un effort de cohérence dans les politiques menées et une capacité à accompagner des transformations profondes sans compromettre la continuité des services.
Animée par : Mathieu Candel, Responsable communication d’Interstis Solutions
Intervenants : Martin Véron, délégué territorial de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) et Nicolas Huez, fondateur d’Interstis Solutions et dirigeant du consortium Hexagone
La seconde table ronde a porté sur l’état de la menace en cybersécurité, dressant un constat clair : le risque est désormais généralisé et touche l’ensemble des acteurs, des grandes organisations aux plus petites structures, jusqu’aux particuliers. Martin Véron a souligné que, malgré un volume officiel d’environ 1 500 incidents traités annuellement, la réalité est largement sous-estimée. Les données issues de la gendarmerie révèlent un écart significatif entre les faits constatés et les plaintes déposées, illustrant l’ampleur d’un phénomène encore largement invisible. Cette situation s’inscrit dans un contexte où la menace reste élevée et constante depuis la période du Covid, marquée par une accélération de la numérisation et du télétravail.
« Notamment depuis le COVID et le développement du télétravail, les cyberattaques visent désormais l’ensemble du tissu économique français, quelle que soit la taille des organisations, à la manière d’une pêche au chalut. »
Martin Véron, délégué territorial de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) en région Nouvelle-Aquitaine
L’évolution des modes opératoires des attaquants constitue un autre point marquant. Là où les cybercriminels ciblaient auparavant des organisations spécifiques, ils adoptent désormais des stratégies de masse, comparables à une « pêche au chalut », exploitant des vulnérabilités simples et largement répandues. Le phishing, les défauts de maintenance ou encore les failles basiques de configuration demeurent les principaux vecteurs d’attaque, révélant un décalage entre la sophistication supposée des cybermenaces et la réalité des incidents, souvent liés à des manquements élémentaires en matière de sécurité.
Dans ce contexte, l’erreur humaine apparaît comme le facteur déterminant. Il a été rappelé par Nicolas Huez que 90 % des attaques trouvent leur origine dans une action involontaire d’un utilisateur, et que 88 % reposent sur des compromissions de comptes. L’attaquant privilégie ainsi l’accès aux identifiants plutôt que des intrusions techniques complexes, en exploitant des mots de passe faibles, des pratiques de réutilisation ou des campagnes de phishing de plus en plus crédibles. L’intelligence artificielle renforce d’ailleurs cette menace en permettant de générer des messages parfaitement contextualisés et des interfaces frauduleuses difficilement détectables, abaissant considérablement le niveau de compétence nécessaire pour mener une attaque.
« Il faut retenir un chiffre assez éloquent : 90 % des attaques sont liées à une erreur humaine. Ce n’est pas l’attaquant qui s’attaque directement aux serveurs, il passe par une erreur des collaborateurs. Et parmi ces attaques, 88 % sont liées à une usurpation de compte. »
Nicolas Huez, fondateur d’Interstis Solutions et dirigeant du consortium Hexagone.
Parallèlement, les modèles économiques de la cybercriminalité évoluent. Si les rançongiciels restent présents, leur usage tend à diminuer au profit de stratégies d’extorsion basées sur la menace de divulgation de données ou leur revente sur le dark web. Cette mutation s’accompagne d’une exploitation accrue des données volées, alimentant des fraudes toujours plus sophistiquées, notamment via des escroqueries personnalisées qui renforcent la crédibilité des attaquants auprès des victimes.
Les perspectives à moyen terme confirment cette tendance à la massification et à l’industrialisation des attaques. Les intervenants anticipent une utilisation croissante de l’intelligence artificielle par les cybercriminels, non seulement pour améliorer l’efficacité des attaques, mais potentiellement pour anticiper ou contourner les mécanismes de défense. En parallèle, la réduction du délai entre la découverte d’une vulnérabilité et son exploitation impose aux organisations d’accélérer leurs cycles de mise à jour et de maintenance.
Face à ces défis, les réponses à apporter relèvent moins de solutions techniques complexes que de mesures fondamentales. La sensibilisation des utilisateurs est identifiée comme un levier prioritaire, tout comme la mise en place d’outils simples tels que les gestionnaires de mots de passe ou l’authentification multifactorielle. Ces dispositifs, encore insuffisamment déployés, permettent pourtant de réduire significativement la surface d’attaque. Les intervenants ont également insisté sur le coût réel de l’inaction, une cyberattaque représentant en moyenne plusieurs dizaines de milliers d’euros pour une organisation, bien au-delà des investissements nécessaires à la prévention.
Au-delà de la protection, la question de la résilience a émergé comme un enjeu majeur. La dépendance croissante au numérique expose les organisations à des risques opérationnels importants en cas d’attaque prolongée. Des situations concrètes ont été évoquées, comme l’incapacité de certaines structures à assurer des fonctions essentielles en mode dégradé. Cette problématique souligne la nécessité d’anticiper non seulement la défense contre les attaques, mais aussi la continuité d’activité en cas de défaillance des systèmes.
Enfin, à l’échelle territoriale, des initiatives structurantes sont mises en place pour accompagner les acteurs. En Nouvelle-Aquitaine, l’ANSSI s’appuie sur un écosystème régional associant préfectures, collectivités, agences sectorielles et un campus de cybersécurité, afin de diffuser les bonnes pratiques et d’apporter un soutien opérationnel. Des outils accessibles, comme des plateformes de diagnostic gratuit ou des ressources pédagogiques, visent à combler le déficit de maturité des organisations les plus exposées. Cette approche met en évidence l’importance d’une action collective et coordonnée pour faire face à une menace qui, désormais, concerne l’ensemble du tissu économique et institutionnel.
Animée par : Thierry Leblond, directeur général de Parsec
Intervenants : Franck Rouxel, Vice-Président de la Fédération Française de la Cybersécurité, Damien Teyssier, directeur cybersécurité du GRADeS ESEA Nouvelle-Aquitaine et Thierry Leblond, fondateur et directeur général de Parsec
La troisième table ronde s’est attachée à déconstruire la notion de donnée sensible, en montrant d’emblée qu’elle repose sur des fondements bien moins évidents qu’il n’y paraît. L’un des points centraux soulevés tient à l’absence même de propriété juridique des données. Contrairement à un bien matériel, la donnée est un objet immatériel qui n’appartient à personne en tant que tel, ce qui oblige à la définir explicitement pour pouvoir la protéger. Sans cette définition préalable, aucune mesure de sécurité ne peut réellement s’appliquer, ce qui explique de nombreux malentendus, y compris au plus haut niveau de l’État, où la perception de ce qui est « sensible » peut diverger selon les référentiels utilisés.
« En droit français, il n’y a pas de propriété sur les données. On peut sécuriser ou gérer un serveur, un bien physique, mais la donnée elle-même n’appartient à personne. C’est un intangible, comme l’eau ou l’air, quelque chose qui se manifeste ».
Franck Rouxel, Vice-Président de la Fédération Française de la Cybersécurité
Cette relativité de la donnée sensible a été illustrée de manière concrète par des exemples montrant qu’une même information peut être anodine ou critique selon le contexte dans lequel elle est exploitée. Dans le domaine de la santé, cette réflexion prend une dimension particulière : la priorité n’est pas uniquement la confidentialité, mais d’abord la disponibilité et l’intégrité de la donnée. Une information indisponible ou altérée peut avoir des conséquences immédiates sur la vie des patients, ce qui renverse la hiérarchie classique des enjeux en cybersécurité. La confidentialité, bien que essentielle, relève davantage de conséquences différées, économiques ou stratégiques.
« Une simple photo de famille ne vaut rien en soi. Mais si on sait qui y figure et que cette personne possède un Bitcoin de 14 millions, tout change : la donnée devient critique. La valeur d’une donnée sensible dépend donc entièrement du contexte. En réalité, cette notion de « donnée sensible », c’est un peu du flan ».
Damien Teyssier, directeur cybersécurité du GRADeS ESEA Nouvelle-Aquitaine
La question du partage des données s’inscrit alors dans une tension permanente entre sécurité et usage. Les intervenants ont souligné que trop de contraintes de sécurité peuvent conduire les utilisateurs à contourner les règles, rendant les systèmes paradoxalement plus vulnérables. De la même manière, la centralisation des données, souvent motivée par des logiques d’efficacité économique, peut devenir un point de fragilité majeur en cas de compromission. L’exemple d’incidents récents dans le secteur de la santé illustre cette difficulté à arbitrer entre accessibilité, performance et protection.
Au-delà des aspects techniques, la discussion a mis en lumière une problématique plus profonde : celle de la compréhension des flux. La sécurité ne peut être pensée de manière isolée ou cloisonnée, mais doit s’inscrire dans une vision systémique des interactions entre les données, les usages et les acteurs. L’incapacité à analyser ces flux conduit à des décisions inadaptées, comme l’absence de détection d’anomalies pourtant évidentes dans certains systèmes. Cette approche globale apparaît comme une condition indispensable pour construire des dispositifs de sécurité réellement efficaces.
L’équilibre entre performance économique et cybersécurité constitue également un enjeu structurant. Trop souvent perçue comme un centre de coût, la cybersécurité peine à s’imposer comme un levier de création de valeur. Or, les choix technologiques des organisations répondent avant tout à des logiques d’efficacité et d’usage, ce qui explique la dépendance à certaines solutions étrangères. La question n’est donc pas uniquement celle de la souveraineté, mais celle de la capacité à proposer des alternatives offrant un niveau de service équivalent, voire supérieur.
Cette réflexion prend une dimension encore plus stratégique avec l’essor de l’intelligence artificielle. Les intervenants ont souligné que l’IA ne doit pas être envisagée uniquement comme un outil technologique, mais comme un vecteur d’influence capable d’agir directement sur les comportements humains. La donnée sensible ne se limite alors plus aux informations stockées, mais englobe l’ensemble des éléments permettant d’influencer la décision, les opinions et, in fine, les dynamiques économiques et politiques. Dans cette perspective, l’humain devient lui-même la principale donnée sensible.
Enfin, la question de la souveraineté et de la capacité d’action des organisations, notamment les plus petites, a été posée avec acuité. La grande majorité des entreprises, constituée de PME et de TPE, ne dispose ni des ressources ni des compétences pour appliquer des cadres de sécurité complexes conçus pour de grandes structures. Cette réalité crée un décalage entre les exigences réglementaires et les capacités opérationnelles, renforçant la dépendance à des solutions externalisées et accentuant les risques liés à la concentration des données.
« Les arbitrages entre sécurité, ergonomie et économie existent et sont bien réels, ils sont légitimes. Mais ils doivent être des choix conscients et pas des renoncements par défaut ».
Thierry Leblond, fondateur et directeur général de Parsec
En conclusion, cette table ronde met en évidence que la donnée sensible ne peut être appréhendée de manière absolue. Elle dépend des usages, des contextes et des finalités. Sa protection ne relève pas uniquement de mesures techniques, mais d’une réflexion globale intégrant les dimensions juridiques, économiques, organisationnelles et humaines. À mesure que les technologies évoluent, et notamment avec l’essor de l’intelligence artificielle, ces enjeux tendent à se déplacer vers des questions plus fondamentales encore : celles de l’influence, de la maîtrise des décisions et, en définitive, du contrôle des sociétés.
Pour conclure, ces tables rondes ont renforcé la prise de conscience autour des enjeux de souveraineté numérique, de cybersécurité et de gestion des données. Les échanges ont mis en évidence une dépendance persistante aux solutions étrangères et la nécessité de structurer des alternatives fiables et souveraines. La cybersécurité a été abordée de manière concrète, rappelant que les risques sont généralisés mais que des réflexes simples permettent déjà de s’en prémunir. La réflexion sur la donnée a, quant à elle, souligné l’importance des usages, des flux et des contextes dans sa protection. Enfin, ces discussions ont posé les bases d’une approche collective et stratégique, indispensable pour renforcer l’autonomie et la résilience numérique.