Un rapport récent a introduit l’Indice Européen de Résilience Numérique (EDRIX) dont l'objectif est de mesurer de manière chiffrée et objective la capacité des 27 États membres de l'Union européenne à « construire, maintenir et contrôler leur propre destinée numérique » et vise à fournir un outil d'analyse pour guider les politiques industrielles vers un « EuroStack » souverain.
L'indice agrège les scores de cinq piliers, dont quatre reposent sur des données mesurables concrètes, plutôt que de se contenter de simples déclarations d'intention.
- Politiques Publiques : maturité des stratégies Open Source nationales (basé sur les rapports OSOR de la Commission européenne).
- Écosystème de Développeurs : densité de développeurs par habitant (données GitHub, à défaut de disposer des données des autres plateformes) et nombre de solutions souveraines référencées dans les principaux annuaires (données agrégées issues de l'annuaire EuroStack).
- Adoption par la Société Civile : part de marché des navigateurs "souverains" (Firefox, Brave, Opera) et part de marché des ordinateurs sous Linux (moyenne de 3,7 % dans l'UE27).
- Résilience du Secteur Privé : souveraineté de l'infrastructure (web, mail, DNS) des domaines nationaux à fort trafic.
- Résilience du Secteur Public : souveraineté de l'infrastructure des institutions publiques clés (Présidence, Gouvernement, capitale).
Le rapport introduit également un indice complémentaire plus spécifique au logiciel libre, l'EOTRIX (European Open Technology Readiness Index).
Concernant la France, qui se classe seulement 6ème, le rapport révèle un tableau contrasté qui illustre le fossé entre politique et pratique, avec un écosystème de développeurs et une adoption par la société civile qui n'obtiennent que des scores moyens (respectivement 4,08/10 et 5,09/10).
Aller plus loin
- Site de l'EDRIX (168 clics)
- L'initiative industrielle EuroStack (22 clics)
- L'OSOR (21 clics)
- L'annuaire EuroStack de solutions européennes et/ou libres (33 clics)
# Les derniers de la classe
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 6 (+7/-3).
Les deux plus mauvais pays sont Malte et Chypre, mais ce ne sont pas réellement des pays, juste des paradis fiscaux avec du tourisme.
Après eux, le plus mauvais est l'Irlande, pays d'adoption de toutes les Big Tech non-européennes qui veulent un havre fiscal dans l'UE.
# Liens cassés
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 3 (+1/-0).
En https://edrix.eu/en/report tous les liens "OSOR Fact Sheet (PDF)" sont cassés. On ne peut donc pas consulter les données.
[^] # Re: Liens cassés
Posté par Stefane Fermigier (site web personnel) . Évalué à 2 (+0/-0).
J'ai peut-être buggé dans le script de génération des liens.
En attendant, tu peux trouver tous les rapports ici: https://interoperable-europe.ec.europa.eu/collection/open-source-observatory-osor/open-source-software-country-intelligence
"There's no such thing as can't. You always have a choice." - Ken Gor
[^] # Re: Liens cassés
Posté par devnewton 🍺 (site web personnel) . Évalué à 3 (+0/-0).
J'en profite pour signaler un autre bug avec le pdf de https://eurostack.eu/wp-content/uploads/2025/08/eurostack-white-paper-final-19-05-25-3.pdf : le copier/coller donne des caractères bizarres :-(
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Liens cassés
Posté par Stefane Fermigier (site web personnel) . Évalué à 2 (+0/-0).
Oui j'ai vu ça. J'y suis pour rien (même si j'ai contribué au document, ce n'est pas moi qui ait fait la version finale ni le rendu PDF). Pourtant le PDF est bien décodé par certains outils.
"There's no such thing as can't. You always have a choice." - Ken Gor
[^] # Re: Liens cassés
Posté par devnewton 🍺 (site web personnel) . Évalué à 5 (+2/-0).
Je n'y arrive pas, mais tant pis. Je voulais juste citer le passage qui définit "européen" comme étant l'UE, les pays candidats à l'UE, l'AELE et le Royaume Uni… parce qu'ils ont envie d'un accord !
On pourrait donc avoir de l'IT souverain avec une facturation suisse, une cybersécurité turque et des données sensibles au chaud dans la perfide albion.
Il ne manque plus qu'à élargir la définition à la Russie (après tout c'est un pays d'Europe) pour que je sois complètement rassuré :-)
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
# Adoption par la société civile
Posté par Astaoth . Évalué à 4 (+2/-0).
Je suis pas sûr de comprendre la pertinence de l'adoption par la société civile avec la méthodologie utilisée. Cet indice mesure les pdm de linux, des navigateurs webs souverains et des navigateurs web libres.
Dans l'explication de l'indice, il est indiqué que les mesures de navigateurs web libres ne concernent que Firefox et Brave. Il n'est pas indiqué la facon dont les forks sont considérés (notement tout les forks de Firefox), du coup est-ce qu'ils sont ignorés ?
Dans la partie explicative de la mesure des navigateurs web souverains, il est indiqué que cela cumule les navigateurs libres ayant des pdm significatives et ceux faits en Europe, donc Opera.
De mémoire, Opera Software a été acheté par un groupe chinois (et n'est donc plus vraiment européen), ce qui avait amené à la création de Vivaldi par les anciens devs d'Opera (en Norvège du coup), dont l'usage n'est pas pris en compte dans le calcule de l'indice.
Je suis aussi assez surpris des indices de résiliences privés et publics en France, parce que je n'ai vu quasiment que de l'O365 pour la partie mail, que ca soit dans le privée ou le public.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Adoption par la société civile
Posté par Stefane Fermigier (site web personnel) . Évalué à 5 (+3/-0).
1) Opera pas européen: tu me l'apprends. J'en tiendrai compte dans la prochaine révision de l'EDRIX.
2) Les forks de firefox: les chiffres dont sont dérivés l'EDRIX ne relèvent pas ces subtilités. Néanmoins, j'imagine que leur PDM est anecdotique.
3) Les indices de résilience publics et privés tiennent compte de l'opérateur de mail via les enregistrements MX du DNS. Donc a priori c'est pris en compte.
"There's no such thing as can't. You always have a choice." - Ken Gor
[^] # Re: Adoption par la société civile
Posté par Astaoth . Évalué à 6 (+4/-0).
Avec plaisir !
Dans la partie souveraineté des navigateurs (incluant les libres), peut-être qu'il serait possible d'inclure une mesure des "divers" ? Entre les forks de firefox, vivaldi, les historiques qui sont encore là comme midori, ca pourrait être intéressant d'avoir une idée de ce que donne le tout cumulé.
En ce moment je travaille pour une collectivité territorial. Leurs MX pointent vers une de leurs IP. En pratique, c'est juste une gateway de filtrage (dans les 2 sens) qui renvoit ensuite les courriels vers de l'O365. A la base il y avait des Exchanges, mais MS a rendu quasi impossible d'en avoir on-premise depuis quelques années. Quand j'ai posé la question derrière du pourquoi de l'O365 au RSSI, sa réponse a été "c'est ce que les élus veulent, on peut pas trop forcer autre chose".
J'avais la même chose dans la structure précédente, un acteur privé : gateway on-premise, mails en pratique stockés sur de l'O365 qui remplace les Exchange historiques. Quand j'avais posé les questions de souveraineté au RSSI, même réponse, c'est ce que le business voulait et ils veulent du Teams et pas autre chose.
Globalement, dans toutes mes interactions pro, et dans celle de l'immense majorité de mon cercle pro proche, les communications, même inter-structures, se font avec du Teams, ce qui sous-entend des courriels géré avec de l'O365 (c'est une question de licence, quand on paye du Teams on a les mails avec). De ce que je vois en pratique, on est très loin d'avoir autant de souveraineté dans les courriels que ce que montre l'étude, du coup je ne suis pas certains de la méthodologie utilisée ici.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Adoption par la société civile
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 4 (+2/-0).
J’ai toujours du mal avec les réponses de type « c’est ce que le business » alors que le business ne décide pas (en tout cas ne devrait pas) de l’aspect technique d’une part et que la personne qui répond a plus ou moins comme rôle de valider ou avaliser les choix techniques d’autre part. Certainement à cause du grand pan de culture qui me fait défaut.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: Adoption par la société civile
Posté par Earered . Évalué à 1 (+1/-1).
Il y a le bon et le mauvais c'est le business.
Le mauvais, ton interlocuteur préfère la solution décrié, mais il pense que tu n'es pas capable d'entendre les raisons, qui peuvent être lié au business (à l'activité de l'organisation)
Typiquement, Salesforce et Microsoft. Chez Microsoft la prime des commerciaux a été affecté (l'est peut être toujours ) par le taux d'utilisation, donc quand tu payes une capacité il te mettent spontanément en relation avec des entreprises qui fournissent des logiciels pertinent pour ton secteur, logiciels développés sur des serveurs Microsoft ce qui assure une mise en relation avec des clients potentiels aux développeurs.
Je trouve le bon "c'est le business", décision prise sans considération technique seulement par le cœur de métier, le commerce ou les dirigeants de l'organisation, plus rare:
Google doc suggéré et accepté par une entité publique de peu personnes: il n'y a pas les capacités juridique et techniques de faire un marché donc c'est ugap et rien d'autre (et c'est lié à l'organisation aussi, ce n'est pas complètement arbitraire)
Déploiement d'un logiciel dans lequel l'actionnaire avait des parts (ou fait par une entité mutualisé, comme les logiciels en université)
[^] # Re: Adoption par la société civile
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 3 (+1/-0).
Merci pour ce point de vue qui m’éclaire (je pertinente).
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: Adoption par la société civile
Posté par Astaoth . Évalué à 4 (+3/-1).
Tu noteras que c'est pareil dans le secteur public, sauf qu'au lieu de parler de business, on parle d'élus.
Disons que d'un côté, tu as une direction avec des personnes qui voient des produits ou services, se disent qu'ils voudraient bien les utiliser et du coup prennent des contrats sans vérifier la plupart du temps avec les opérationnels de la DSI, le RSSI ou le DPO.
De l'autre, tu as les opérationnels qui se retrouvent devant les faits accomplis et qui n'ont pas leur mot à dire, après-tout ils ne sont pas managers, on ne va quand même pas les écouter.
Et enfin au milieu, il y a une vague de managers dans la DSI qui peuvent se retrouver dans la même positions que les opérationnels, qui peuvent ne pas avoir d'avis ou suivent le mouvement, parfois par méconnaissance du sujet, parfois pour des besoins de carrières. Il y a aussi de temps en temps des DPO qui méconnaissent leurs fonctions et devoirs, et s'en fiche un peu.
Et derrière, il y a la CNIL qui osef un peu des problèmes de RGPD des boites françaises. Par exemple, l'utilisation de services d'une structure soumise aux lois FISA pour y mettre des données personnels, bien qu'incompatible avec le RGPD, n'est pas condamné.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Adoption par la société civile
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 3 (+1/-0).
Merci aussi, cela m’éclaire (et je pertinente).
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
# Score relatif
Posté par Pol' uX (site web personnel) . Évalué à 9 (+7/-0).
Je suis assez étonné de voir que la France aurait 10/10 en public policies. Ça ne donne pas trop confiance dans la réalité que reflète le tableau.
Adhérer à l'April, ça vous tente ?
[^] # Re: Score relatif
Posté par Stefane Fermigier (site web personnel) . Évalué à 4 (+2/-0).
10/10 ne signifie par que les politiques publiques en faveurs du libre sont parfaites (je suis le premier d'ailleurs à en faire la critique dans le cas de la France) mais qu'on n'a pas trouvé, en se basant sur les rapports de l'OSOR, ailleurs.
Il y a plusieurs biais dans cette mesure:
1) On se base sur les connaissances et appréciations de l'OSOR.
2) Le dernier rapport de l'OSOR date de 2024. Or en France, la situation a commencé à se dégrader considérablement en 2024 avec le démantèlement progressif de la Mission Logiciel Libre de la DINUM.
"There's no such thing as can't. You always have a choice." - Ken Gor
[^] # Re: Score relatif
Posté par BAud (site web personnel) . Évalué à 4 (+2/-0).
c'est ballot de proposer des offres d'emploi dans ces conditions o_O
[^] # Re: Score relatif
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 3 (+1/-0).
Moi, mauvais élève, en consultant les chiffres avant la doc, j'ai cru qu'il s'agissait de scores sur 1000…
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
# Office365 partout
Posté par Benjamin Henrion (site web personnel) . Évalué à 6 (+4/-0).
En Belgique, un gars avait fait une analyse des communes basees sur l'envoi d'emails, 80% d'entre elles étaient sur Office365.
Il faudrait retrouver la méthode.
[^] # Re: Office365 partout
Posté par Stefane Fermigier (site web personnel) . Évalué à 4 (+2/-0).
Je pense avoir vu passer quelque chose de similaire en France il y a 2 ou 3 ans. Mais je n'ai plus les détails en tête.
Pour ce qui est de la détection, ma technique est de regarder vers quoi point le MX du DNS. C'est relativement facile et a priori (sauf erreur) fiable de détecter si c'est du Office365 ou du Google. A priori c'est pas comme ça qu'on va détecter du Exchange, par exemple.
Le deuxième point, c'est qu'il faut avoir la liste de toutes les communes d'un pays donné (avec leur nom de domaine). Pour la France, en cherchant bien, j'imagine pouvoir y arriver. Mais le faire pour les 27 pays de l'UE, ça me paraît un effort trop conséquent.
Néanmoins, on peut s'amuser à le faire sur un territoire qu'on connaît bien, et faire du "name & shame" ou des cartes interarctives, etc. Ca peut être intéressant.
"There's no such thing as can't. You always have a choice." - Ken Gor
[^] # Re: Office365 partout
Posté par anubis . Évalué à 6 (+4/-0).
Probablement cette étude : https://jurgen.gaeremyn.be/map.html
Je ne sais pas si ca a été actualisé entre temps mais j'avais noté en avril 2025 les niveaux de dépendances suivant à des solutions US :
FR : 21%
DE : 6%
BE : 77%
NL : 67%
PT : 34%
IT : 15%
PL : 3%
BU : 4%
GR : 9%
aussi sur le salon xmpp:linuxfr@chat.jabberfr.org?join
[^] # Re: Office365 partout
Posté par Benjamin Henrion (site web personnel) . Évalué à 2 (+0/-0).
C'est ce que je cherchais!
[^] # Re: Office365 partout
Posté par JurgenG . Évalué à 6 (+6/-0).
Soyez prudents… (c'est moi qui a fait les chiffres). Ces résultats sont gravement conservatifs: ils régardent que les MX-records dans les DNS-records. ça veut dire:
1. Seulement les serveurs avec 'outlook' ou 'microsoft' dans les domaines MX sons considérés "Microsoft".
2. Les serveurs Exchange sur place (dans le domaine) ne sont pas reconnues
3. Les services Mail-proxy (e.g. Barracuda) ne sont aps reconnues
4. La détermination du domaine du site web d'un ville n'est pas toujours correct (j'ai fait un algoritme - j'ai verifié les domain Belge a la main désormais)
Alors ça veut dire:
1. Pour les pays avec un haute pénétration de MS/Google -> la realité c'est même plus grave
2. Pour les pays aven un basse pénétration de MS/Google -> on ne sait pas.
Par exemple, j'ai compris que en Allemagne, c'est obligatoire d'avoir une mail-proxy. Alors une chiffre de 4% sur Microsoft/Google… ça veut seulement dire que il-y-a 4% qui n'ont pas (encore) conformé avec la loi. Aucun idée combien de municipalités utilisent MS.
[^] # Re: Office365 partout
Posté par anubis . Évalué à 4 (+2/-0).
Merci pour les précisions (et au passage pour ce travail laborieux effectué !).
aussi sur le salon xmpp:linuxfr@chat.jabberfr.org?join
[^] # Re: Office365 partout
Posté par Astaoth . Évalué à 4 (+2/-0). Dernière modification le 26 septembre 2025 à 18:03.
Et ca, c'est que si il n'y a pas de gateway frontale pour faire le filtrage (émission et réception) des mails, ce que font pas mal de structures pour avoir plus de souplesse qu'un O365.
Je pense qu'une détection plus fiable serait avec les enregistrement dkim (quand c'est activé, il y a pas mal de chances que ca soit celui de MS et non un propre à la structure) ou peut-être les spf (les domaines d'O365 peuvent être mis "au cas où"). Le plus fiable restant les en-têtes d'un mail reçu, MS met pas mal de choses et peut faire un forward interne avant de l'envoyer aux gateway mails.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
# Une bonne intention mais...
Posté par devnewton 🍺 (site web personnel) . Évalué à 6 (+4/-1). Dernière modification le 22 septembre 2025 à 10:33.
La souveraineté n'est pas la résilience, de la même façon que PRA != disponibilité.
La nationalité n'est pas la souveraineté : pourquoi un développeur français
agirait-il dans l'intérêt de la Franceobérait-il aveuglément à son gouvernement ? Si demain on me demande de coder l'IA d'un drone chasseur de padechénou pour Retailleau, je pense que j'introduirais un léger changement de cible dans le code pour rigoler :-)Le taux de développeur sur github, c'est curieux: pourquoi ne pas considérer gitlab, codeberg… et les forges indépendantes ? comment est déduite la nationalité des développeurs?
En quoi avoir Linux sur le bureau est-ce de la souveraineté ? Si ce sont des Ubuntu et que Canonical coupe le snapstore, la France l'aura dans l'OS.
Sur les infrastructures, il considère le web (les serveurs https?), les mails et les dns. Mais là aussi, est-ce qu'un hébergeur français serait forcément fidèle à la France (le pays ? son gouvernement ? ) ?
Avant de se lancer dans la construction de KPI, il faudrait définir clairement ce que veut dire souveraineté.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Une bonne intention mais...
Posté par Stefane Fermigier (site web personnel) . Évalué à 4 (+2/-0).
Même si le mot "souveraineté numérique" n'est pas prononcé, on peut prendre comme définition les termes de l'article 16 de la loi République numérique de 2016, i.e. la capacité "à préserver la maîtrise, la pérennité et l'indépendance de [ses] systèmes d'information."
De manière plus développée, voici une définition que j'ai proposée récemment:
"There's no such thing as can't. You always have a choice." - Ken Gor
[^] # Re: Une bonne intention mais...
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 1 (+0/-1).
Probablement tout simplement parce que ça complique sérieusement le travail, et que ça augmente donc le coût de l'étude. C'est pour la même raison que Software Heritage, au début, n'archivait que Github.
[^] # Re: Une bonne intention mais...
Posté par Stefane Fermigier (site web personnel) . Évalué à 5 (+3/-0).
Surtout parce que ni Gitlab ni Codeberg ne fournissent ces données. Je les ai contactés (les 12 janvier 2024 et le 5 février 2025 pour Gitlab, le 4 septembre 2025 pour Codeberg). Je n'ai eu aucun retour (même pas un refus poli).
"There's no such thing as can't. You always have a choice." - Ken Gor
# Exposés ?
Posté par jch . Évalué à 1 (+0/-0).
Stephane, est-ce que tu as pensé à faire un exposé à l'IRILL à ce sujet ?
# Beaucoup d'argent pour rien
Posté par Shunesburg69 . Évalué à 1 (+1/-1). Dernière modification le 01 octobre 2025 à 11:06.
Ils ont fait, je ne sais combien de Plan-ci ou Projet-ça, pour qu'au final on se retrouve avec Windows+Office sur 95% des PC de la fonction publique. Je pense donc que ça ne changera rien comme d'habitude, même si j'espère me tromper.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.