De l’outil à la tutelle : le piège des systèmes propriétaires américains
Souveraineté numérique : le coût réel de la dépendance
Il existe des infrastructures qui cessent un jour d’être des outils pour devenir des contraintes.
Des choix techniques qui, à force d’être reconduits par inertie et/ou flemme, mutent en dogmes.
Des systèmes opératifs qui ne servent plus l’organisation mais la capturent.
Microsoft Windows appartient aujourd’hui à cette catégorie : non plus un simple système d’exploitation, mais un fait politique, économique et culturel.
Je propose un diagnostic froid, argumenté, clinique, sur la trajectoire d’un système devenu mécaniquement perdant, et sur les responsabilités partagées qui ont conduit l’Europe (administrations, entreprises, hôpitaux, industries stratégiques) à s’enfermer dans une dépendance structurelle.
Je propose enfin une issue réaliste, déjà partiellement là, que beaucoup feignent encore de ne pas voir.
La faillite de Windows n’est pas d’abord technique. Elle est culturelle.
Elle naît d’un rapport au logiciel qui privilégie la domination de marché à la qualité intrinsèque, l’empilement fonctionnel à la cohérence architecturale, la communication à la maîtrise. Microsoft n’a jamais réellement conçu Windows comme un système opératif au sens fort du terme, mais comme une plateforme de capture. Capture des éditeurs tiers, capture des utilisateurs finaux, capture des organisations entières par la compatibilité descendante et la peur du changement. Cette stratégie a fonctionné pendant des décennies parce qu’elle s’est appuyée sur un contexte précis : l’explosion du PC individuel, l’absence d’alternative perçue, et une tolérance générale aux approximations techniques tant que « ça démarre » et que « Outlook s’ouvre ».
Mais ce modèle atteint aujourd’hui ses limites physiques et logiques. Les faits sont désormais publics, documentés, répétés, au point que seule la mauvaise foi permet encore de parler d’incidents isolés. Windows est devenu un empilement de couches historiques jamais réellement purgées. Des briques héritées des années 1990 cohabitent avec des composants modernes, des APIs obsolètes restent exposées pour préserver des applications mortes depuis longtemps, et chaque tentative de modernisation se solde par un compromis bancal.
Le résultat est un système d’une complexité interne extrême, impossible à auditer sérieusement, impossible à sécuriser proprement, impossible à maîtriser sans une armée de correctifs, d’antivirus, d’EDR, de GPO, de scripts PowerShell et de consultants certifiés.
Ce n’est pas un hasard si l’écosystème Windows génère en permanence son propre marché de rustines : il en a besoin pour survivre. Les mises à jour cumulatives déployées à marche forcée, parfois sans possibilité réelle de gel en environnement critique, ont provoqué à maintes reprises des interruptions de service massives. Redémarrages en boucle, pilotes cassés, impressions paralysées pendant des semaines, incompatibilités applicatives découvertes en production : l’« update foireuse » n’est plus l’exception, c’est un risque opérationnel intégré, accepté comme une fatalité.
Peu de DSI osent encore l’admettre publiquement, mais beaucoup organisent désormais leurs calendriers autour de la peur du Patch Tuesday.
À cette faillite culturelle s’ajoute une connivence structurelle avec les mauvais acteurs. Windows est devenu l’environnement de prédilection du malware industriel, du ransomware organisé, de l’espionnage de masse opportuniste. Non pas parce qu’il serait intrinsèquement plus « hackable » que tout autre système, mais parce qu’il concentre les usages, les privilèges et les naïvetés. La monoculture logicielle est un accélérateur de catastrophe, et Microsoft en est l’architecte. Chaque faille critique découverte dans Active Directory, dans SMB, dans Exchange ou dans le moteur d’impression n’est pas un accident isolé : c’est l’expression d’un modèle où l’exposition massive est structurelle. La promesse de sécurité « par le cloud », martelée depuis une décennie, n’a rien réglé. Elle a même aggravé certains vecteurs de propagation. Les vagues de ransomware qui ont frappé hôpitaux, collectivités territoriales et PME industrielles européennes ont presque toutes exploité les mêmes chaînes : compromission d’un poste Windows, élévation de privilèges via Active Directory, chiffrement latéral automatisé.
La standardisation extrême de l’environnement Microsoft a permis une industrialisation du crime numérique à une échelle inédite. Elle a simplement déplacé le problème vers des couches encore plus opaques.
Le concept de « too big to fail » a muté ici en « too big to succeed ». Microsoft est prisonnier de sa propre taille. Chaque évolution significative menace un écosystème gigantesque de partenaires, de certifications, de dépendances contractuelles. Chaque décision est ralentie par la nécessité de ne froisser personne, sauf l’utilisateur final, variable d’ajustement docile. Le système s’épaissit par sédimentation, jamais par refonte. Or un système opératif ne se sédimente pas indéfiniment sans se transformer en marécage.
Face à cet état de fait, la responsabilité des directions des systèmes d’information européennes est lourde. Pendant des années, elles ont adopté Windows et l’écosystème Microsoft non pas par choix éclairé, mais par confort intellectuel et par peur. Peur de sortir du cadre, peur de ne pas trouver de compétences, peur d’assumer une décision politique sous couvert de technique. Le discours est toujours le même : « c’est le standard », « tout le monde fait comme ça », « on ne peut pas prendre ce risque ».
Ce raisonnement est précisément celui qui fabrique les risques systémiques.
Les DSI ont accepté, souvent sans les comprendre, des architectures d’une fragilité extrême. Des forêts Active Directory devenues des points de compromission uniques. Des postes utilisateurs surchargés de privilèges implicites. Des mises à jour imposées, non maîtrisées, parfois destructrices. Des dépendances logicielles si profondes qu’un simple changement de version devient un projet à plusieurs millions.
Tout cela est connu, documenté, vécu quotidiennement par les équipes techniques de terrain.
Et pourtant, le déni persiste aux sommets des COMEX.
Ce déni est aussi ergonomique. L’UX Windows en environnement professionnel est pénible, instable, incohérente. Elle impose aux utilisateurs une gymnastique cognitive permanente, des interruptions incessantes, des comportements imprévisibles. Cette pénibilité n’est pas anecdotique : elle a un coût humain, un coût économique, un coût organisationnel. Elle est pourtant rarement intégrée dans les décisions stratégiques, comme si l’expérience utilisateur des agents publics, des ingénieurs, des soignants était secondaire face à la sacro-sainte compatibilité Office.
Plus grave encore, les DSI ont largement sous-estimé (ou volontairement minimisé) la dimension géopolitique de leurs choix. Adopter massivement un système opératif, des services cloud, des outils collaboratifs soumis au droit extraterritorial américain n’est pas une décision neutre. Le Cloud Act, les pratiques de collecte de données, les injonctions judiciaires opaques sont des réalités documentées.
Continuer à bâtir des systèmes d’information critiques sur des fondations juridiquement étrangères relève soit de l’incompétence, soit de la fuite de responsabilité.
Le Digital Markets Act et le Digital Services Act européens arrivent tard, et peinent à contrebalancer une dépendance déjà profondément ancrée.
Le verrouillage technique se double aujourd’hui d’un étranglement économique assumé. Les hausses tarifaires imposées par Microsoft sur Azure et par Broadcom depuis la captation de VMware ne relèvent plus d’une évolution de marché mais d’un abus de position devenu systémique.
Les grilles de licences changent sans préavis réel, les métriques de facturation sont redéfinies unilatéralement, et les contrats pluriannuels se transforment en pièges budgétaires. Dans de nombreuses organisations, les coûts explosent de 30 à 300 % sans création de valeur correspondante, sans gain de sécurité mesurable, parfois même avec une perte de contrôle opérationnel. L’audit de conformité n’est plus un outil de gouvernance, mais une menace permanente, utilisée pour rappeler au client captif l’asymétrie du rapport de force. Broadcom par exemple a choisi la brutalité frontale en supprimant toute alternative à l’abonnement et en faisant disparaître les offres intermédiaires ; Microsoft pratique la même extraction, de manière plus diffuse, en liant indissociablement OS, cloud, identité, sécurité et collaboration.
Le message est clair : sortir coûte cher, rester coûte encore davantage.
Cette logique de rente, incompatible avec toute planification stratégique sérieuse, transforme les directions des systèmes d’information en gestionnaires de dépendance plutôt qu’en architectes de valeur.
Il est temps de dire les choses clairement : persister dans cette voie n’est plus un conservatisme prudent, c’est une faute stratégique. Les incidents répétés sur les infrastructures cloud de Microsoft, et en particulier sur Azure, devraient achever de dissiper les illusions. Pannes globales affectant l’authentification, indisponibilités prolongées de services critiques, ruptures de chaînes CI/CD hébergées : lorsqu’un fournisseur devient à la fois l’OS, l’annuaire, la messagerie, la collaboration et le cloud, chaque défaillance prend une dimension systémique. Externaliser ainsi le cœur du système d’information revient à accepter une perte de contrôle structurelle.
Une faute vis-à-vis des citoyens, des entreprises, de la souveraineté européenne.
Une faute que l’histoire retiendra sévèrement.
La sortie existe pourtant. Elle n’est ni utopique ni marginale. Elle s’appelle logiciel libre, et plus précisément aujourd’hui GNU/Linux dans sa maturité contemporaine. Le monde Linux de 2026 n’a plus rien à voir avec celui, artisanal et élitiste, des débuts. Il est robuste, industrialisé, outillé. Il fait tourner l’essentiel d’Internet, la quasi-totalité du calcul haute performance, une grande partie des infrastructures critiques mondiales.
Il a prouvé, par les faits, sa capacité à évoluer, à se sécuriser, à s’auditer.
Contrairement à Windows, GNU/Linux repose sur une culture de la transparence, de la responsabilité et de la maîtrise. Le code est lisible, modifiable, auditable. Les dépendances sont explicites. Les mises à jour sont contrôlables. Les architectures sont pensées pour la séparation des privilèges, pour la résilience, pour la sobriété. Le mythe selon lequel Linux serait réservé à une élite technique est entretenu par ceux qui ont intérêt à maintenir l’existant. Dans la réalité, les environnements de bureau modernes, les suites bureautiques libres, les outils collaboratifs ouverts ont atteint un niveau de maturité largement suffisant pour l’immense majorité des usages professionnels.
La question n’est donc pas technique. Elle est culturelle et politique. Sortir de la dépendance Microsoft suppose une acculturation massive, assumée, organisée. Former les décideurs, pas seulement les techniciens. Redonner aux DSI une colonne vertébrale stratégique. Accepter une période de transition, de cohabitation, d’apprentissage. Investir dans des compétences locales plutôt que dans des licences étrangères. Créer de la valeur en Europe, au lieu de l’exporter sous forme de redevances.
Cette transition va à contre-courant du techno-bullshit ambiant, de la fuite en avant vers des solutions clés en main, opaques, prétendument magiques. Elle oblige aussi à regarder lucidement d’autres acteurs longtemps perçus comme des refuges.
Apple, par exemple, cultive encore une image de dissidence élégante, mais aligne désormais sans complexe sa stratégie sur les intérêts politiques et commerciaux américains les plus durs.
Depuis la disparition de Steve Jobs, la culture produit a cédé le pas à une logique de verrouillage, de soumission réglementaire opportuniste et de communication docile. Les démonstrations publiques d’allégeance au pouvoir politique américain, y compris le plus brutal, devraient suffire à rappeler une évidence : Apple n’est pas une alternative de souveraineté, mais une autre forme de dépendance, plus policée, plus chère, et tout aussi opaque. Elle demande du courage. Mais elle est la condition d’une puissance numérique réelle. La souveraineté ne se décrète pas, elle se construit par des choix concrets, parfois inconfortables, toujours structurants.
Il ne s’agit pas de diaboliser Microsoft par posture idéologique. Il s’agit de constater qu’un acteur privé américain, aussi performant soit-il par ailleurs, n’a aucune raison objective d’aligner ses intérêts sur ceux de l’Europe. Continuer à lui confier nos systèmes nerveux est une abdication douce, polie, contractualisée.
En sortir est un acte de maturité.
L’Europe a les compétences, les chercheurs, les ingénieurs, les communautés pour réussir cette bascule.
Elle a déjà les briques. Ce qui manque encore, ce n’est pas la technologie, mais la volonté de rupture et la lucidité sur ce que l’on refuse d’assumer comme une défaillance de l’ensemble de nos infrastructures critiques si l’on agit pas immédiatement.
