Tous les articles
Analyse7 min de lecture

L’empreinte invisible des géants américains sur le web européen

Quand on parle de souveraineté numérique, on pense au choix de l’hébergeur. Mais la dépendance réelle d’un site européen aux infrastructures américaines est un mille-feuille : elle se loge dans des couches que personne ne regarde, et qu’aucun contrat ne mentionne. Voici ce que nos audits observent, couche par couche.

Le chiffre qui cadre le sujet

Selon les relevés du cabinet Synergy Research Group, Amazon, Microsoft et Google captent plus de 70 % du marché européen du cloud, tandis que la part de marché cumulée des fournisseurs européens sur leur propre continent est tombée d’environ 27 % en 2017 à environ 13 %, alors même que le marché explosait. Autrement dit : l’Europe consomme de plus en plus de cloud, et en produit une part de plus en plus faible.

Ce chiffre ne décrit pourtant que la couche visible. La dépendance qui nous intéresse ici est plus fine, et plus insidieuse.

Couche 1 : l’hébergement, la partie émergée

C’est la seule couche dont tout le monde a conscience. Encore faut-il la vérifier : l’adresse IP d’un site, confrontée aux registres publics (RDAP), au DNS inverse et aux en-têtes HTTP, raconte souvent une autre histoire que la plaquette commerciale. Un site « hébergé en France » servi depuis une instance AWS de la région Paris reste un site servi par Amazon.

Couche 2 : le CDN et l’anti-DDoS, le péage invisible

Des sites rigoureusement hébergés chez OVHcloud ou Hetznerplacent Cloudflare devant leur infrastructure pour le cache et la protection. Conséquence : 100 % du trafic, formulaires et sessions comprises, transite par un intermédiaire américain qui termine la connexion TLS. L’hébergeur est européen, le péage ne l’est pas. C’est l’un des findings les plus fréquents de nos audits, et l’un des moins connus des intéressés eux-mêmes.

Couche 3 : les ressources de page, la fuite côté navigateur

Votre serveur peut n’avoir aucun lien avec les États-Unis : si vos pages chargent Google Fonts, Google Analytics, un tag manager, un reCAPTCHA ou un pixel publicitaire, c’est le navigateur de chacun de vos visiteurs qui contacte les serveurs américains, adresse IP en tête. La dépendance ne se voit ni dans votre infrastructure ni dans vos factures : elle s’exécute chez vos utilisateurs. Deux de nos guides traitent les cas les plus répandus : les polices et la mesure d’audience.

Couche 4 : l’email, la correspondance entière

Les enregistrements MX d’un domaine sont publics, et ils sont éloquents : une part considérable des entreprises européennes confie l’intégralité de sa correspondance à Google Workspace ou Microsoft 365. Contrats, négociations, données RH, échanges avec les avocats : tout transite par un prestataire soumis au droit américain. C’est probablement la dépendance au ratio gravité/attention le plus déséquilibré.

Couche 5 : le DNS, le domaine, le certificat

Qui résout votre nom de domaine (Route53 ? Cloudflare ?), qui peut le suspendre (votre registrar), qui signe votre certificat TLS : trois pouvoirs discrets sur l’existence même de votre site. Pris isolément, chacun pèse peu ; cumulés, ils dessinent qui peut, techniquement et juridiquement, vous débrancher.

Couche 6 : les sous-domaines, l’angle mort

Le schéma revient constamment dans nos analyses : une vitrine exemplaire, hébergée en Europe, scorant honorablement, et derrière elle app., moncompte. ou api. servis depuis AWS ou placés derrière Cloudflare. La façade est souveraine, le cœur applicatif ne l’est pas. C’est pourquoi notre outil énumère les sous-domaines via les journaux de Certificate Transparency et analyse l’hébergement de chacun.

Pourquoi personne ne le voit

Parce que chaque brique, prise isolément, est un choix par défaut raisonnable : le CDN « que tout le monde utilise », la police « gratuite », l’analytics « standard », la messagerie « que connaît la DSI ». Aucune décision n’a jamais été « dépendre des États-Unis » ; c’est la somme de vingt décisions par défaut. La dépendance est systémique, donc invisible dans chaque ligne de budget.

Ce qui est en train de changer

  • La pression réglementaire : NIS2 rend les entreprises responsables de leur chaîne d’approvisionnement numérique, DORA exige des stratégies de sortie testables. Notre grille de lecture détaille qui est concerné.
  • La pression géopolitique : le cadre de transfert transatlantique repose sur un décret présidentiel américain révocable, et les auditions parlementaires de 2025 ont acté publiquement que les fournisseurs américains ne peuvent pas garantir l’étanchéité. Le décryptage est ici.
  • La pression commerciale : acheteurs publics et grands comptes intègrent la souveraineté dans leurs appels d’offres. Un score de dépendance devient un argument de vente, ou un angle d’attaque.

Par où commencer

  1. Mesurer : on ne corrige pas ce qu’on ne voit pas. L’audit photographie vos six couches en une minute, sous-domaines compris.
  2. Corriger par ordre de levier : les ressources de page (polices, analytics) se migrent en heures ; le DNS et le CDN en jours ; l’email et l’hébergement en semaines. Chaque palier se voit dans le score.
  3. Exiger la transparence de ses prestataires : leur site, leur espace client et leurs sous-traitants sont auditables aussi. La conversation change quand l’inventaire est sur la table.

La souveraineté numérique n’est pas le repli : personne ne propose de débrancher l’Europe du reste du monde. C’est une question de lucidité : savoir précisément qui peut lire vos données, suspendre votre domaine ou couper votre infrastructure, et décider en conscience de qui vous acceptez que ça dépende.

Et votre site, il dépend de qui ?

Hébergement, CDN, polices, emails, DNS : l’audit photographie vos dépendances en une minute.

Analyser un site

À lire ensuite

DécryptageCloud Act, FISA 702 : pourquoi héberger en Europe ne suffit pasLireDécryptageSecNumCloud, NIS2, DORA : la grille de lecture du cloud de confianceLire