Se connecter S'abonner
Strategy

IDC confirme le basculement du marché de la cybersécurité

Boris Jancen

Boris Jancen

4 min de lecture
Partager
IDC confirme le basculement du marché de la cybersécurité
Le flou entourant la définition de souveraineté numérique a ouvert la voie à un véritable "sovereignty washing" » - Rahiel Nasir, analyste principal d'IDC.

Une nouvelle enquête mondiale d'IDC auprès de 600 organisations dans 15 pays, confirme ce que beaucoup pressentaient : la souveraineté numérique a quitté le terrain du discours pour devenir une réalité opérationnelle. Pour les organisations et le secteur cybersécurité belges, ces données offrent une feuille de route et un rappel des exigences réglementaires déjà en vigueur dans notre pays. Explications.

Une nouvelle étude d’IDC (Worldwide Digital Sovereignty Survey, juin 2026) montre que plus de la moitié des organisations interrogées utilisent déjà des solutions de cloud souverain, et plus d'un tiers prévoient de le faire dans les douze prochains mois. Pour la plupart, il ne s’agit pas d’environnement isolé : près de la moitié l'intègrent dans une stratégie multicloud ou hybride, et 43 % en font leur plateforme cloud principale.

L’étude met en avant les motivations des organisations : la confidentialité et la sécurité des données arrivent en tête (51 %), suivies par la conformité réglementaire, la gestion du risque fournisseur, la résilience opérationnelle et l'atténuation du risque géopolitique. 

Le contexte géopolitique pèse lourd dans la balance des décideurs et autres comités de direction : 72 % des organisations déclarent que leur intérêt pour la souveraineté numérique a augmenté au cours des six derniers mois.

 Côté attentes concrètes, les organisations classent par priorité la résidence des données et le contrôle juridictionnel, la protection contre l'accès aux données par des gouvernements étrangers, le contrôle sur l'accès opérationnel et le support administratif, et la portabilité des données (avec un vrai droit de sortie). La transparence sur l'usage de l'IA et des données d'entraînement atteint déjà 41 %, alors que ce pourcentage était quasi nul il y a encore quelques années.

« Le flou entourant la définition de souveraineté numérique a ouvert la voie à un véritable "sovereignty washing" » - Rahiel Nasir, analyste principal d'IDC en charge du programme mondial sur la souveraineté numérique,

L’IA au coeur de la dépendance technologique

 L'IA constitue le volet le plus marquant de l'enquête. Près de deux tiers des organisations considèrent la dépendance à des fournisseurs d'IA étrangers comme une préoccupation majeure ou modérée. 

Un épisode récent illustre ce risque de façon concrète : à la mi-juin 2026, des restrictions américaines à l'exportation ont brusquement suspendu l'accès de ressortissants étrangers à plusieurs modèles d'IA de pointe. En réponse, plus de 42 % des organisations font déjà tourner leurs charges de travail d'IA sur une infrastructure souveraine, et 38 % de plus prévoient de le faire sous un an. Sur les données d'entraînement elles-mêmes, 47 % jugent la pleine propriété et le plein contrôle indispensables, et 51 % supplémentaires les considèrent importants.

Côté freins, le coût d’une stratégie souveraine reste l'obstacle le plus cité, suivi de la complexité de mise en œuvre, avec un écart persistant entre l'offre disponible et les attentes réelles en matière de transparence et de portabilité.

 Quels enjeux concrets pour les entreprises belges ?

 Ces résultats viennent renforcer, plutôt que remplacer, le cadre réglementaire déjà applicable en Belgique :

 NIS2 et le CCB imposent depuis le 18 octobre 2024 une gestion du risque fournisseur incluant explicitement le choix et la localisation des prestataires cloud, avec une échéance d'auto-évaluation CyFun passée le 18 avril 2026 pour les entités essentielles.

Le RGPD encadre tout transfert de données personnelles hors UE, un terrain que la dépendance à des fournisseurs soumis à des lois extraterritoriales (type Cloud Act américain) vient directement interroger.

L'EUCS, le schéma européen de certification cloud porté par l'ENISA, reste bloqué sur la question des critères de souveraineté ; la révision « Cybersecurity Act 2.0 » de janvier 2026 vise à relancer le dossier sans l'avoir encore tranché.

Le Data Act, applicable depuis septembre 2025, facilite le changement de fournisseur cloud, un appui bienvenu au droit de sortie que les organisations placent désormais en tête de leurs exigences.

 Trois recommandations pour avancer dans la bonne direction

 La grande marche vers une réelle souveraineté numérique, qui sous-tend la question d’une autonomie globale des technologies, ressources et infrastructures permet de circonscrire le sujet de manière plus concrète. Et d’en tirer quelques conseils généraux de bon sens.

-Exigez la preuve, pas la promesse : localisation réelle des données, juridiction contractuelle, certifications (ISO 27001, CyFun, futures certifications EUCS), et conditions précises de réversibilité.

-Traitez la souveraineté de l'IA séparément : pour tout projet touchant des données sensibles ou de la propriété intellectuelle, demandez la transparence sur l'hébergement du modèle et la propriété des données d'entraînement.

-Intégrez ce critère dans votre gestion des risques fournisseurs NIS2 et portez le sujet au niveau du comité de direction, comme le font déjà la majorité des organisations interrogées par IDC.

 Pour conclure, l'enquête IDC confirme un changement d'échelle qui s’opère rapidement sous nos yeux : la souveraineté numérique n'est plus un concept vague. Elle est devenue le critère par défaut d'évaluation des fournisseurs cloud et IA pour une majorité d'organisations dans le monde. Pour les entreprises belges, déjà engagées dans la mise en conformité NIS2, le signal est clair : il est temps de transformer cette exigence en clauses contractuelles vérifiables plutôt qu'en argument marketing.

Lire la suite