Nous utilisons Microsoft au gouvernement belge ? Et alors, ce n’est pas un problème, non ? Ça fonctionne bien et tout le monde l’utilise. N’est-ce pas ? C’est le choix sûr, après tout. “Personne n’a jamais été licencié pour avoir choisi IBM Microsoft.”
“Hey Amérique, je pensais qu’on était amis ?” Cette question n’est plus rhétorique. Alors que les menaces tarifaires s’intensifient, que les guerres redessinent les alliances géopolitiques et que l’infrastructure numérique devient la colonne vertébrale de chaque service critique, l’Europe fait face à une vérité inconfortable : nous avons externalisé le contrôle de notre avenir numérique à une poignée d’entreprises américaines.
Que les États-Unis nous espionnent via Google, Microsoft et d’autres grandes entreprises technologiques américaines n’est pas une nouvelle histoire. Lorsqu’Edward Snowden a révélé en 2013 que le programme PRISM de la NSA avait un accès direct aux serveurs de Facebook, Google, Microsoft et Yahoo, et collectait d’énormes quantités de données sur les citoyens non américains, les dirigeants européens ont exprimé leur indignation. Le Parlement européen a lancé des enquêtes. Mais structurellement, peu de choses ont changé. Plus d’une décennie plus tard, la dépendance n’a fait que s’approfondir. L’Europe paie maintenant 264 milliards d’euros par an aux géants technologiques américains pour les services cloud et logiciels, soit 1,5% du PIB de l’UE. Quatre-vingt-trois pour cent des dépenses cloud d’entreprise européennes vont aux fournisseurs américains, soutenant 1,95 million d’emplois américains tandis que les alternatives européennes peinent. Et la Belgique est en première ligne. Même aujourd’hui. L’actualité vient de révéler que l’Armée belge passera entièrement à Microsoft, et il y a six mois, l’ensemble du gouvernement flamand a non seulement renouvelé son contrat, mais a également approfondi les liens.
La question n’est plus de savoir si cette dépendance existe, mais si nous pouvons fonctionner de manière indépendante lorsque les vents géopolitiques tournent. Ne risque-t-on pas de se diriger vers la prochaine situation trop-gros-pour-faire-faillite ?
Le déficit de souveraineté dont personne ne parle
La souveraineté numérique sonne abstrait, quelque chose à débattre pour les passionnés de politique et les régulateurs dans les salles de conférence bruxelloises. Mais enlevez le jargon, et c’est simple : la capacité de décider de manière indépendante comment une société gère et gouverne son infrastructure numérique, ses données et son intelligence. Il s’agit de contrôle, de résilience et de la capacité de fonctionner selon les lois et valeurs locales lorsque les acteurs externes ont d’autres priorités.
Actuellement, l’Europe manque de cette capacité. Les géants GAFAM (Google, Apple, Facebook (Meta), Amazon et Microsoft) contrôlent plus de 60% du marché cloud mondial. En Europe, la concentration est encore plus marquée : Amazon, Microsoft et Google dominent 70% du marché de l’infrastructure cloud. Microsoft seul détient entre 73% et 92% de part de marché dans les logiciels de productivité du secteur public de l’UE, selon la catégorie. On estime que 90% des données occidentales transitent par des serveurs américains.
Cette domination du marché est devenue une dépendance structurelle. Lorsque le CLOUD Act américain (adopté en 2018) donne aux autorités américaines le pouvoir légal d’accéder aux données stockées par les entreprises américaines partout dans le monde, indépendamment des lois locales sur la vie privée, la souveraineté européenne devient une fiction juridique. Lorsque Microsoft admet au Sénat français qu’il ne peut garantir que les données des citoyens français ne seront pas transmises aux autorités américaines sans autorisation française, l’illusion éclate.
L’Union européenne a tenté de réagir. Le Digital Markets Act a désigné six entreprises (Alphabet, Amazon, Apple, Bytedance, Meta et Microsoft) comme des “gardiens” nécessitant une surveillance spéciale. Mais la réglementation sans alternatives n’est que du théâtre. La plupart des organisations européennes, publiques et privées, opèrent à ce que le EU Cloud Sovereignty Framework appelle SEAL-0 ou SEAL-1 : complètement dépendantes de fournisseurs tiers sans garanties contractuelles de localisation des données, de souveraineté du traitement ou d’immunité de juridiction étrangère.
Dans le terrier du lapin DNS
Vous n’êtes vraiment pas intéressé par les détails techniques, mais vous voulez juste le résumé ? Les enregistrements DNS nous montrent qui traite le courrier entrant et donnent une forte indication de qui traite le courrier sortant pour un domaine web. Sur la base de ces informations, nous pouvons déterminer si le domaine utilise MSO365, l’écosystème Google ou autre chose.
Alors j’ai commencé à me demander… y a-t-il des données publiques disponibles qui peuvent m’aider à comprendre l’ampleur de cette réalité ? Et je suis arrivé aux enregistrements DNS, le registre public d’Internet. Beaucoup d’entre nous connaissent déjà le DNS comme l’annuaire d’Internet - il indique aux utilisateurs quelle adresse IP un nom de domaine doit mener. Mais le DNS contient bien plus que cela. Il indique également à votre client de messagerie qui accepte le courrier pour un domaine donné.
Si vous êtes un peu geek, vous pourriez utiliser cette commande (et vous obtiendrez cette réponse) :
$ dig MX +short vilvoorde.be
0 vilvoorde-be.mail.protection.outlook.com.
Cela nous indique donc clairement que tout le courrier vers somebody@vilvoorde.be sera traité par outlook.com (donc : Microsoft). Si vous n’êtes pas si technique, vous pouvez également visiter un site web comme dnschecker.org et voir le même résultat. Ce terrier de lapin va beaucoup plus profond, mais pour l’instant, c’est suffisant.
Avec ces connaissances, j’ai commencé à enquêter sur la façon dont les communes belges géraient leur courrier, en vérifiant simplement chaque nom de domaine officiel pour les 285 communes de Belgique. Les résultats étaient légèrement choquants, mais inférieurs à ce que j’attendais réellement. Par exemple, selon cette carte, Louvain utilisait ses propres enregistrements MX (<mx.leuven.be>). Mais la réalité nous a appris que cette commune utilise l’infrastructure Microsoft pour ses opérations (y compris le courrier).
J’ai élargi ma recherche et tenté de cartographier toutes les communes européennes ; j’ai remarqué que certains pays affichaient une très faible dépendance étrangère (hors UE). Par exemple, l’Allemagne ne présentait qu’environ 66 % des communes avec des enregistrements MX locaux, et en Pologne ce chiffre atteignait même 90 %. Là encore… en discutant avec des personnes locales, il semblait que beaucoup utilisaient Outlook et MSO365 dans des lieux qui n’apparaissaient pas sur la carte. Alors… que se passe-t-il ?
J’ai élargi ma recherche et essayé de créer une carte pour toutes les communes européennes
Oui… quel était le problème ? Apparemment, il existe deux situations possibles où l’utilisation que notre solution ne cartographie pas :
- (moins courant) Le détenteur du domaine dispose d’un serveur sur site et exécute Exchange ou un autre logiciel de serveur de messagerie verrouillé dessus.
- (assez courant) Un proxy de messagerie est utilisé qui est placé devant le serveur de messagerie réel. Ceci est généralement fait pour la sécurité ou pour intercepter le spam ou les logiciels malveillants avant qu’ils n’entrent dans le réseau.
Nous voulons donc maintenant déterminer qui envoie des courriels pour un domaine donné, car c’est au moins aussi important. Bien que cela ne soit pas directement visible dans les enregistrements DNS, nous pouvons profiter des bonnes pratiques de délivrabilité du courrier et plonger à nouveau dans les enregistrements DNS, mais cette fois dans les enregistrements TXT. C’est en fait la poubelle de l’enregistrement DNS. Ici, nous trouvons l’enregistrement Sender Policy Framework (SPF). Cette ligne dans le DNS nous indique qui est autorisé à envoyer du courrier au nom d’un domaine donné.
Vous pouvez à nouveau utiliser quelque chose comme dnschecker.org ou à nouveau utiliser une commande de terminal :
$ dig TXT +short leuven.be | grep v=spf
"v=spf1 ip4:52.148.198.154 ip4:195.234.45.71/32 ip4:31.193.181.122/32 ip4:193.190.220.214/32 ip4:193.191.179.0/27 ip4:193.190.220.192/27 ip4:93.94.106.167 ip4:213.224.57.64/29 ip4:109.68.162." "57/32 ip4:193.191.179.11/32 ip4:167.89.72.195/32 include:spf.protection.outlook.com include:spf.wearehostingyou.com include:prezlymail.com include:spf.mandrillapp.com include:carerix.net include:spf.icontroller.eu include:spf.ciport.be -all"
Comme vous pouvez le voir dans l’exemple ci-dessus : il peut y avoir plusieurs services d’envoi autorisés. Dans l’exemple ci-dessus, nous voyons beaucoup de domaines et de plages IP. Passons en revue quelques-uns :
- ip4:52.148.198.154 <– cette adresse IP renvoie à un serveur à Amsterdam, hébergé par Microsoft.
- ip4:195.234.45.71/32 <– ce sous-réseau/plage va vers un ingénieur Telecom belge local - il semble qu’il y ait une sauvegarde en cas d’urgence
- il y a quelques autres plages IP qui renvoient vers des entreprises belges
- include:… <– l’enregistrement TXT pour les domaines inclus contient un autre ensemble d’adresses IP ou de domaines d’inclusion qui peuvent autoriser l’envoi. Bien que le nom de domaine nous dise généralement quelque chose sur l’entreprise, ce n’est pas une garantie (et le contenu de ces inclusions peut également changer silencieusement)
- include:spf.protection.outlook.com <– renvoyant aux plages IP appartenant à Microsoft utilisées par les serveurs d’échange MS gérant l’envoi de courrier
- include:spf.wearehostingyou.com <– (et autres) plages IP renvoyant vers des entreprises et services locaux de l’UE
Pour des raisons de faisabilité pratique, nous regardons simplement les domaines d’inclusion, tous les domaines vérifiés reflètent l’entreprise derrière de manière fiable. Quiconque est intéressé à plonger encore plus profondément dans ce terrier de lapin… allez-y !
Enquête sur les services publics
Ainsi, compte tenu de ces informations, nous pouvons examiner les domaines de différents services publics (y compris certaines entreprises). Si nous examinons les enregistrements MX et SPF, cela nous apprend :
| Police | Pompiers | Hôpitaux | Écoles (FL) | Banques | Partis politiques | |
|---|---|---|---|---|---|---|
| Microsoft | 100% | 45% | 44% | 56% | 39% | 115/150 |
| 18% | 1% | 32% | 4% | 14/150 | ||
| Non UE | 16% | 1% | 11% | |||
| UE/BE | 36% | 28% | 8% | 46% | 21/150 |
Ma conclusion : La Belgique ne peut pas se permettre que Microsoft tombe en panne. Les Pays-Bas non plus, ni de nombreux autres pays de l’UE. Et la tendance s’accélère. En janvier 2025, la Flandre a signé un accord Microsoft Copilot pour 10 000 utilisateurs, le plus grand contrat d’IA du secteur public européen. En 2024, Microsoft a remporté 89 à 100% des appels d’offres informatiques publics dans les grands pays de l’UE.
En avril 2025, le ministre de la Défense a annoncé un investissement de 61 millions d’euros en cybersécurité, incluant une “transition vers les services cloud.” Le Luxembourg et la Belgique se sont associés pour un cloud souverain pour la défense et les infrastructures critiques. Avec Microsoft qui entre dans le secteur des solutions de défense et de renseignement, et la menace de sanctions économiques américaines, il ne sera pas surprenant d’entendre que l’Armée belge joue également la carte Microsoft. Des inquiétudes surgissent que cela nous rend vulnérables au niveau géopolitique.
BeLibre : Une réponse populaire
Ensuite, j’ai commencé à chercher des mouvements belges qui travaillaient à sensibiliser à l’importance de la souveraineté numérique. Vivant près de Bruxelles, j’étais déjà membre de Hackerspace Brussels, où j’ai trouvé de nombreuses personnes partageant les mêmes idées et curieuses de technologie. Il y a aussi le BXLug, qui rassemble des personnes utilisant Linux et organise régulièrement des install parties dans tout Bruxelles. Les gens formidables d’Abelli font de grands efforts pour promouvoir les Logiciels Libres en Belgique, mais sont principalement francophones et se concentrent sur des sujets spécifiques. Mais aucun de ces mouvements n’interagissait avec le niveau politique ou ne parlait lors d’événements publics. Il y avait des mouvements comme APELL, l’European Open Source Software Business Association et des mouvements comme EDRI mais bien qu’ils soient basés à Bruxelles, ils se concentrent sur le niveau européen.
Cette recherche m’a conduit à fonder BeLibre en avril 2025. BeLibre est un mouvement populaire belge qui tente de rassembler des passionnés de technologie avec une compréhension approfondie du fonctionnement des choses. Nous essayons de rassembler des experts du monde académique, des affaires et de la communauté technologique générale.
Nous nous coordonnons via Matrix (pour la discussion communautaire en ligne), où nous avons plusieurs canaux :
Pour la sensibilisation publique, nous utilisons principalement Mastodon.
Ce n’est pas de la FUD ou du protectionnisme
Inévitablement, certains rejetteront cela comme de la peur, de l’incertitude et du doute. “La technologie américaine est tout simplement meilleure. Pourquoi nous handicaper ?” argumenteront d’autres. “N’est-ce pas simplement du protectionnisme déguisé en souveraineté ?”
Soyons clairs : il s’agit de gestion des risques, pas d’idéologie. Les organisations évaluent régulièrement les risques de la chaîne d’approvisionnement pour les biens physiques : concentration géographique, points de défaillance uniques, exposition géopolitique. Pourquoi l’infrastructure numérique devrait-elle être exemptée ? Lorsque Microsoft détient 80% du marché de la productivité du secteur public de l’UE, une panne prolongée, un changement de prix ou un changement de politique unilatéral devient une menace existentielle.
Lorsque le CLOUD Act américain permet aux forces de l’ordre américaines d’accéder aux données européennes stockées sur des serveurs d’entreprises américaines (peu importe où ces serveurs se trouvent physiquement), la législation européenne sur la protection des données devient inapplicable. Lorsque les tarifs, les sanctions ou les contrôles à l’exportation peuvent être armés (comme nous l’avons vu avec les semi-conducteurs, l’énergie et maintenant potentiellement les services cloud), la dépendance devient un levier.
L’open source et l’interopérabilité sont les antidotes à la fois au verrouillage américain et au protectionnisme européen. Des outils comme LibreOffice, Nextcloud, Matrix et Mastodon sont développés mondialement, gouvernés de manière transparente et immunisés contre le contrôle unilatéral d’une entreprise ou d’un État. L’autonomie stratégique ne signifie pas l’isolement, elle signifie la conservation de la capacité de fonctionner de manière indépendante lorsque cela est nécessaire.
Les enjeux sont plus élevés que vous ne le pensez
La Belgique et une grande partie de l’Europe ont externalisé la souveraineté numérique à une poignée d’entreprises américaines. Cela crée un risque systémique : des pannes qui paralysent les services publics, des cadres juridiques qui contredisent les valeurs européennes, un pouvoir de fixation des prix qui extrait des milliards chaque année, et un levier géopolitique qui mine l’autonomie européenne.
La tendance s’accélère. L’intégration de l’IA (Copilot, Gemini, ChatGPT Enterprise) approfondit le verrouillage. Les architectures cloud natives rendent la migration plus difficile. Le Shadow IT se propage plus rapidement que la gouvernance ne peut le suivre.
Mais des solutions existent. Dans le prochain article, je passerai en revue les risques spécifiques qui rendent cette dépendance dangereuse : pannes, conflits juridiques, abus de marché et échecs de gouvernance. Dans le troisième, je fournirai une feuille de route pratique pour que les organisations évaluent, planifient et réduisent progressivement leur exposition sans tout casser.
Pour l’instant, la première étape est la prise de conscience. Cartographiez vos dépendances. Demandez où votre courrier électronique est hébergé, qui contrôle votre DNS, où vos données sont stockées et qui y a légalement accès. Car la question n’est pas de savoir si vous êtes dépendant, c’est de savoir si vous pouvez vous permettre de ne pas le savoir.
Resources additionels
- (2009) The US surveillance programmes and their impact on EU citizens’ fundamental rights
- (2014) Edward Snowden: Leaks that exposed US spy programme
- (2015) SURVEILLANCE, PRIVACY, AND SECURITY: EUROPE’S CONFUSED RESPONSE TO SNOWDEN
- (2025) Technological dependence on American software and cloud services : an assessment of the economic consequences in Europe
- (2025) Digital Sovereignty: Why leaving the GAFAM is an absolute urgency (and what to replace them with)
- (2025) Digital Sovereignty in the Age of AI
- (2025) Nextcloud Digital Sovergnty Index
- (2025) Europe’s cloud market poised for 24% growth
- (2025) Microsoft beheerst 80 procent van publieke sector EU met software
- (2025) Europe’s Digital Sovereignty at Risk: The Microsoft Dependency
- (2025) The Growing Demand for a Sovereign Cloud
- (2023) The Key to Confidentiality in the Cloud
- (2019) The Untold Story of Edward Snowden’s Impact on the GDPR
- Can Europe create a technology company to compete with Amazon, Google or Apple?
- (2025) Your Country’s Digital Sovereignty Index Score - and Why It Matters
- (2025) Flemish authorities close big AI deal: 10,000 civil servants will get access to Microsoft Copilot
- (2025) Flanders secures Europe’s largest Microsoft Copilot contract to improve government efficiency
- (2015) TWO YEARS AFTER SNOWDEN