Incluons les US dans la gestion des risques informatiques

Imaginez le scénario

Imaginez un conflit commercial ou une crise géopolitique qui nous couperait, même partiellement, des services américains. Plus de bases de données Oracle , plus de AWS (EC2, S3), Azure (Active Directory, VMs) ou GCP (BigQuery, Kubernetes). Plus de licences Microsoft ,donc plus de Teams, d’Office 365, de Windows Server ou de Windows 11. Plus de GitHub pour le code, de Slack , ni même d’Adobe Creative Cloud.

Je ne vais pas peindre un tableau apocalyptique… mais voila l’idée et ça donne des sueurs froides, non ?

Intégrer ce risque dans nos SI

Aujourd’hui, nous savons déjà intégrer le risque dans nos systèmes d’information : cyberattaques, incendies, coupures d’électricité, et bien d’autres. Nous sommes formés et orientés vers des architectures résilientes, n’est-ce pas ?

Il me semble qu’il est temps d’ajouter à cette liste le risque américain. Je ne suis pas expert en géopolitique, mais je doute qu’un simple changement de contexte politique suffise à écarter ce sujet durablement. Attendre en espérant que tout ira bien, c’est aussi prendre un risque et potentiellement majeur.

Oui, cela représente un coût supplémentaire. Mais intégrer ce paramètre dans nos PCA et PRA permettrait au moins d’assurer une continuité minimale de nos services IT.

Par exemple

• Pour les annuaires, étudier des solutions parallèles comme Samba, en complément d’AD, pour des scénarios d’urgence, tout en anticipant une possible migration vers des acteurs souverains si nécessaire.
• Pour l’infrastructure, diversifier vers des hébergeurs français tels qu’OVH ou Scaleway afin de limiter notre dépendance aux clouds américains.
• Pour les systèmes d’exploitation, lancer des POC sous Linux , même ciblés , afin de disposer d’une alternative en cas de blocage ou de restriction sur les licences Windows.

Le poste de travail

Espérons que ce scénario ne se produise jamais. Mais comme pour les incendies — un risque rare que l’on anticipe pourtant systématiquement — préparons-nous avant d’y être contraints. L’objectif n’est pas la perfection, mais d’éviter l’effondrement.

Je vais maintenant prêcher pour ma paroisse : le poste de travail.

La tendance lourde est à la migration massive vers Intune, souvent depuis MECM. C’est le sens de l’histoire. Cette évolution présente de réels avantages, et aussi certaines limites. Intune est un excellent produit. Mais on ne peut pas ignorer qu’il renforce mécaniquement la dépendance à Microsoft.

Et si tout s’arrêtait ?

Imaginons maintenant un scénario plus dur : pour des raisons juridiques, géopolitiques ou réglementaires, certains services deviennent inaccessibles du jour au lendemain. Licences suspendues. Accès restreints. Fonctionnalités désactivées. Non pas à cause d’une panne… mais parce qu’une décision externe l’a imposé.

Que se passe-t-il alors ?

• Si vos licences E3 ou E5 sont bloquées, que devient votre pilotage ?
• Si des services d’authentification ou d’administration sont limités, vos contrôleurs de domaine continuent-ils à fonctionner normalement ?
• Avez-vous encore la main sur vos environnements ?
• Disposez-vous de postes d’administration non Windows en solution de secours ?
• Êtes-vous capables de déployer rapidement des postes Linux intégrant les outils critiques pour assurer une continuité minimale ?

À ce jour, je n’ai jamais rencontré d’organisation ayant réellement anticipé ce type de scénario.

Garder la maîtrise

Mais une chose est sûre : celles qui ont fait le choix de solutions souveraines réduisent fortement leur exposition.
Elles ne suppriment pas tous les risques , aucun système n’est invulnérable ,mais elles gardent la maîtrise.