Actualités

Egerie Inside Club 2026 : souveraineté, réglementation et IA : ce que nos experts ont vraiment dit

Souveraineté, NIS2, DORA et IA : ce qu'ont vraiment dit nos experts lors de l'Egerie Inside Club 2026, en marge du lancement du module Compliance.

Egerie Inside Club 2026 : souveraineté, réglementation et IA : ce que nos experts ont vraiment dit

Retour sur notre soirée annuelle réunissant RSSI, décideurs cyber et experts du secteur autour d'une table ronde de fond :"Souveraineté et cyber-résilience : quelles stratégies bâtir à l'ère des crises ?"

Le 24 juin dernier, Egerie réunissait sa communauté pour l'Inside Club 2026, une soirée doublement marquante. Jean Larroumets, CEO et co-fondateur, en a profité pour annoncer en avant-première le lancement du nouveau module Compliance, premier module de la nouvelle plateforme Egerie entièrement repensée autour de l’IA et Agentic. Un module qui automatise la mise en conformité sur les grands référentiels (NIS2, DORA, ISO 27001, RGPD...) et réduit de semaines à quelques minutes le travail de cartographie réglementaire, une réponse directe aux enjeux débattus le soir même.

La soirée a ensuite laissé place à une table ronde sans concession réunissant quatre experts aux profils complémentaires : Guy-Philippe Goldstein, enseignant à l'École de Guerre Économique et expert en géostratégie cyber ; Jean-Philippe Cassard, Directeur en charge des activités de prévention cyber chez Sopra Steria ; Paul Berloty, CEO et co-fondateur de Modjo, scale-up IA française ; et Jean Larroumets lui-même. Les échanges ont été rythmés autour de trois axes : la dépendance technologique et la résilience face à la rupture, les réglementations NIS2 et DORA comme leviers (ou freins ?) budgétaires, et l'IA souveraine : mythe ou réalité accessible.

Voici les principales conclusions à retenir.

Le 24 juin dernier, Egerie réunissait RSSI, décideurs cyber et experts du secteur à l’occasion de son Inside Club 2026, une soirée placée sous le signe de la souveraineté, de la résilience et de l’intelligence artificielle.

L’événement a également été l’occasion pour Jean Larroumets, CEO et cofondateur d’Egerie, de dévoiler en avant-première le nouveau module Compliance, premier module de la nouvelle plateforme Egerie conçue nativement autour de l’IA agentique. Son ambition : automatiser la mise en conformité avec les principaux référentiels (NIS2, DORA, ISO 27001, RGPD…) et réduire de plusieurs semaines à quelques minutes le travail de cartographie réglementaire. Une illustration concrète des transformations dont il a été question tout au long de la soirée.

La table ronde qui a suivi a réuni quatre intervenants aux regards complémentaires : Guy-Philippe Goldstein, enseignant à l’École de Guerre Économique et expert en géostratégie cyber ; Jean-Philippe Cassard, Directeur des activités de prévention cyber chez Sopra Steria ; Paul Berloty, CEO et cofondateur de Modjo ; et Jean Larroumets. Sans langue de bois, les échanges ont exploré trois grandes questions qui préoccupent aujourd’hui les organisations :

  • Comment réduire sa dépendance technologique tout en restant innovant ?
  • Les réglementations européennes comme NIS2 et DORA renforcent-elles réellement la résilience ou freinent-elles l’innovation ?
  • Une IA souveraine est-elle un objectif atteignable ou un horizon qu’il faut aborder autrement ?

Voici les principaux enseignements de cette soirée.

1. Dépendance et résilience : la rupture est déjà là

Le scénario que l’on qualifiait encore d’hypothétique il y a deux ans — une interruption d’accès aux grands services cloud américains décidée unilatéralement par Washington — figure désormais dans les registres de risques de nombreuses organisations. Et ce n’est plus une simple spéculation.

Guy-Philippe Goldstein a posé le décor avec quelques chiffres qui ont marqué l’auditoire : quatre euros sur cinq dépensés dans le cloud en Europe vont vers des fournisseurs américains, et plus de 75 % des pays européens s’appuient sur des clouds américains pour des fonctions critiques liées à leur sécurité nationale. La dépendance n’est donc plus une hypothèse géopolitique : c’est une réalité opérationnelle.

Selon lui, cette situation est d’autant plus préoccupante que le contexte américain évolue rapidement. Il a évoqué la dégradation des capacités de la CISA, dont près d’un tiers des effectifs aurait été supprimé, l’affaiblissement du Cyber Command américain, confronté à des réductions d’effectifs estimées entre 8 et 10 %, ainsi qu’une administration qui prend parfois des décisions davantage politiques que techniques. « Quand on est affaibli et qu’on est le grand gendarme du monde, ça invite à être testé encore plus par ses adversaires. »

Pour autant, Guy-Philippe Goldstein s’est gardé de toute conclusion simpliste. Les États-Unis représentent encore près de 55 % du marché mondial de la cybersécurité, concentrent les principaux early adopters et demeurent le principal moteur de l’innovation dans le domaine. Se couper brutalement de cet écosystème serait, selon lui, une erreur aussi bien stratégique que technologique.

La réponse réside donc moins dans la rupture que dans la réversibilité.

Jean Larroumets l’a illustré à partir de l’expérience d’Egerie auprès de ses clients : « On peut être dépendant d’une technologie américaine à partir du moment où l’on s’est préparé à s’en extirper. C’est un peu comme un plan de continuité d’activité : si ces systèmes ne fonctionnent plus, je dois être capable de transférer ces capacités vers d’autres solutions. »

Il a également posé une question qui mérite réflexion : si les organisations européennes ne donnent jamais leur chance aux solutions souveraines, celles-ci ne pourront jamais combler leur retard. Au-delà des seuls critères techniques, « il y a aussi un choix collectif et une confiance à construire pour faire émerger une véritable industrie européenne. »

Interrogé sur la Chine, Guy-Philippe Goldstein a été tout aussi catégorique. Pour lui, la dépendance à l’égard des technologies chinoises pose un problème de même nature que celle vis-à-vis des technologies américaines, mais avec un niveau de risque encore supérieur. Il a rappelé que la loi chinoise sur la cybersécurité de 2017 oblige les entreprises à coopérer avec les autorités, sans les garanties offertes par un État de droit. Il a également cité les premières interrogations soulevées par le déploiement de véhicules autonomes chinois dans certaines flottes d’entreprises israéliennes. « La Chine, ce n’est pas une solution, c’est un problème supplémentaire. »

Takeaway : La dépendance technologique est désormais un risque stratégique à part entière. Il ne s’agit pas de renoncer aux technologies américaines, mais de connaître précisément ses dépendances, de les intégrer aux analyses de risques fournisseurs et de concevoir des architectures suffisamment réversibles pour conserver sa liberté de choix. En matière de résilience, disposer d’un plan de bascule, même imparfait, vaut infiniment mieux que de ne pas en avoir.

2. NIS2 et DORA : levier budgétaire ou écran de fumée ?

La table ronde a abordé une question que beaucoup se posent, mais que peu formulent ouvertement : NIS2, DORA et les autres réglementations européennes renforcent-elles réellement la souveraineté numérique ou ajoutent-elles simplement une couche supplémentaire de complexité administrative ?

Les réponses ont été nuancées.

Jean-Philippe Cassard a posé la distinction fondamentale : la réglementation européenne et la réglementation américaine ne poursuivent pas les mêmes objectifs. L’Europe réglemente pour protéger les citoyens, les données et le marché commun. Les États-Unis utilisent davantage la réglementation comme un instrument de puissance économique et géopolitique. « Nous, on est dans une logique purement défensive. Et on peut être 100 % conforme à toutes ces réglementations sans avoir traité son risque de dépendance technologique. »

Paul Berloty, CEO de Modjo, a apporté le point de vue de la scale-up européenne, sans détour. « Nos concurrents américains, le jour où le RGPD est entré en vigueur, ils étaient conformes le lendemain. Ils ont suffisamment d’argent pour absorber ce coût. Pour des entreprises comme nous, se mettre en conformité représente des investissements considérables que nous ne mettons pas dans le développement du produit. » Son constat est clair : dans leur forme actuelle, ces réglementations favorisent mécaniquement les grands acteurs déjà installés, souvent américains, au détriment des entreprises européennes en forte croissance.

Jean Larroumets a apporté une lecture plus systémique en s’appuyant sur une analogie parlante : « Pour la sécurité routière, on a comparé les statistiques avant et après l’obligation du port de la ceinture de sécurité. Cela a permis de sauver des milliers de vies. Pourquoi ? Parce que le risque n’était pas suffisamment perçu. La réglementation, c’est transformer la peur de la sanction en prise de conscience du risque. » À ses yeux, NIS2 joue aujourd’hui exactement ce rôle : elle pousse des dirigeants de PME, jusque-là peu sensibilisés aux enjeux cyber, à engager enfin une véritable démarche de gestion des risques.

Jean-Philippe Cassard a toutefois rappelé un point juridique souvent méconnu : si NIS2 n’est toujours pas transposée en droit français, cela ne signifie pas pour autant que les organisations peuvent attendre. Une directive européenne non transposée peut, dans certaines situations, être invoquée devant les juridictions. « En cas de sinistre cyber, on pourra toujours soutenir que des contre-mesures prévues par la directive n’ont pas été mises en œuvre. Ce risque n’est pas théorique. » L’ANSSI a d’ailleurs pris les devants en publiant dès le mois de mars le référentiel ReCyF, afin de permettre aux organisations d’engager leur mise en conformité sans attendre.

Jean Larroumets a conclu sur une note très concrète en présentant la réponse d’Egerie à ce millefeuille réglementaire — NIS2, DORA, ISO 27001, RGPD et bien d’autres. Cette approche repose sur un corpus unique de mesures canoniques, construit avec les analystes d’Egerie et enrichi avec des partenaires comme Sopra Steria. « Nous arrivons à construire un corpus unique de mesures qui permet de répondre à l’ensemble des principaux référentiels. Avec les nouvelles technologies d’IA, démontrer automatiquement sa conformité n’est plus un problème : c’est désormais une réalité accessible à tous grâce à notre nouveau module Compliance, conçu nativement autour de l’IA. »

Takeaway : La conformité réglementaire ne constitue pas une finalité en soi et ne couvre pas, à elle seule, le risque de dépendance technologique. En revanche, attendre la transposition officielle de NIS2 avant d’agir expose déjà les organisations à un risque juridique. La bonne approche consiste à s’appuyer dès aujourd’hui sur le référentiel ReCyF et à inscrire la conformité dans une véritable démarche de gestion des risques, plutôt que dans une simple logique de checklist.

3. L'IA souveraine existe-t-elle vraiment ?

C’est sans doute la question la plus prospective — et peut-être la plus clivante — de la soirée.

La réponse courte : une IA pleinement souveraine — des semi-conducteurs aux centres de données, en passant par les modèles, les données d’entraînement et les couches applicatives, le tout sous contrôle européen — n’existe pas aujourd’hui et n’existera probablement pas à court terme. « Si on attend d’avoir toutes les couches pour faire une IA souveraine, on risque d’attendre très longtemps », a reconnu Jean Larroumets. Aucune grande puissance ne maîtrise à elle seule l’ensemble de cette chaîne de valeur : les États-Unis eux-mêmes s’appuient sur des puces fabriquées par TSMC à Taïwan, tandis qu’une partie de leur écosystème de cybersécurité s’est construite grâce à des entreprises fondées en Israël ou issues de l’innovation israélienne.

Mais la véritable question, celle qui compte opérationnellement, est ailleurs : comment déployer l’IA sans automatiser sa propre dépendance ?

Jean-Philippe Cassard a identifié la contrainte essentielle à intégrer dès la conception : « Si on prend en compte cet enjeu dès le départ, on va pouvoir maîtriser cette architecture, anticiper ses choix et limiter la dépendance. » Le message est clair : les choix d’architecture réalisés aujourd’hui détermineront la capacité à changer de fournisseur ou de technologie demain.

Paul Berloty a, lui, mis en lumière le paradoxe européen. Mistral constitue aujourd’hui la principale alternative européenne sur les modèles de fondation. Mais si personne ne l’adopte au motif que les modèles américains sont plus performants, cette alternative risque tout simplement de disparaître. « Il ne suffit pas de déclarer qu’on veut une IA souveraine. Pour qu’elle existe, il faut qu’il y en ait la demande. » Il a d’ailleurs demandé à la salle de lever la main pour savoir qui souhaitait disposer d’une IA souveraine : la très grande majorité des participants s’est exprimée en faveur de cette ambition.

Guy-Philippe Goldstein a apporté une vision plus pragmatique et technique. Selon lui, il existe déjà des moyens de limiter les dépendances : des chercheurs développent des couches d’orchestration autour de modèles open source chinois déployés sur des clouds souverains, tandis que des plateformes comme OpenRouter permettent de combiner plusieurs fournisseurs de LLM. « On est dans un jeu de gestion du risque et il va falloir être relativement fluide et ouvert. La solution purement européenne n’existe pas, elle n’existera jamais. Il faut réfléchir de façon un peu différente. »

Les intervenants ont toutefois rappelé qu’il ne fallait pas idéaliser l’open source, souvent présenté comme la réponse naturelle à la souveraineté. « Je ferais très attention au modèle open source dans le contexte de la cybersécurité. On a vu des cas où l’on pensait que l’open source permettait à tout le monde de vérifier le code… et nous avons eu de très mauvaises surprises, notamment sur Linux. » La vigilance reste donc indispensable, tant sur la gouvernance des projets que sur la qualité des audits et la composition des équipes qui les maintiennent.

Takeaway : Déployer l’IA est devenu à la fois inévitable et nécessaire, y compris en s’appuyant sur des briques qui ne sont pas entièrement souveraines. L’enjeu n’est pas de rechercher une souveraineté absolue, mais de concevoir des architectures réversibles, de soutenir activement les alternatives européennes et d’éviter de créer une dépendance dont il serait impossible de sortir le jour où les règles du jeu évolueraient.

Pourquoi agir maintenant

Ces trois sujets convergent vers une même réalité : nous vivons une période de métamorphose, pour reprendre les mots de Jean Larroumets en ouverture de la soirée. Pas une transformation numérique de plus, mais un véritable changement de paradigme.

« Pour la première fois dans l’histoire de l’humanité, nous avons accès à une autre forme d’intelligence, qui a de grandes chances d’être plus puissante que la nôtre, disponible quasiment au prix de l’électricité. Et ça change tout. »

Cette révolution dépasse largement le cadre de la technologie. Elle transforme la manière de concevoir la cybersécurité, la conformité, la gouvernance et, plus largement, la résilience des organisations.

Dans ce contexte, la cyber-résilience n’est plus un sujet réservé aux experts techniques. Elle devient une responsabilité stratégique qui engage la direction générale, les choix d’architecture, la maîtrise des dépendances technologiques, la gestion des fournisseurs et la capacité d’une organisation à poursuivre ses activités dans des scénarios de rupture qui, il y a encore quelques années, semblaient improbables.

Les organisations qui prennent de l’avance dès aujourd’hui — en cartographiant leurs dépendances critiques, en préparant leur conformité à NIS2 sans attendre sa transposition, en concevant des architectures réversibles et en intégrant l’IA de manière maîtrisée — seront demain celles qui piloteront leur risque, plutôt que de le subir.

C’est précisément la vision portée par Egerie. Avec son nouveau module Compliance, conçu nativement autour de l’IA, et son agent intelligent Jerry, l’objectif est de rendre la gouvernance cyber et la conformité beaucoup plus simples, plus rapides et plus accessibles. Ce qui était hier un exercice long, complexe et réservé aux grandes organisations devient progressivement un pilotage continu, automatisé et accessible à tous.

Les intervenants

Guy-Philippe Goldstein est enseignant à l'École de Guerre Économique et expert reconnu en géostratégie et cybersécurité. Auteur de travaux de référence sur la guerre froide numérique et les conflits cyber, il intervient régulièrement auprès d'institutions publiques et privées sur les enjeux de souveraineté technologique et de puissance cyber à l'échelle des États.

Jean-Philippe Cassard est Directeur en charge des activités de prévention au sein de la division cyber de Sopra Steria. Il accompagne au quotidien les grandes organisations du CAC 40 dans leurs démarches de mise en conformité NIS2, DORA et ISO 27001, et dans la structuration de leur gouvernance cyber face aux nouvelles contraintes réglementaires européennes.

Paul Berloty est CEO et co-fondateur de Modjo, scale-up française qui développe des agents IA pour les équipes commerciales B2B. Fort de 500 clients en Europe, il apporte un regard de terrain sur les défis concrets que représentent les réglementations européennes pour les entreprises tech en hypercroissance, et sur les conditions nécessaires à l'émergence d'une IA véritablement souveraine.

Jean Larroumets est CEO et co-fondateur d'Egerie. Il pilote depuis dix ans la transformation d'Egerie d'un outil d'analyse de risques réservé aux experts vers une plateforme cyber GRC all-in-one, automatisée et accessible à toutes les organisations. Il porte la conviction qu'Egerie a vocation à devenir l'acteur de référence européen de la cyber GRC, avec aujourd'hui plus de 14 mentions Gartner.

Egerie : la plateforme cyber GRC qui automatise votre gouvernance

Depuis sa création, Egerie poursuit une même ambition : permettre aux organisations de piloter leur cybersécurité comme elles pilotent leurs activités financières ou opérationnelles, avec une approche continue, structurée et orientée décision.

Il y a maintenant deux ans, nous avons fait un choix stratégique fort : repenser entièrement notre plateforme pour tirer pleinement parti des avancées de l’intelligence artificielle. Pas en ajoutant quelques fonctionnalités d’IA à l’existant, mais en reconstruisant une nouvelle génération de plateforme, conçue dès l’origine autour d’une approche AI-first et agentique.

Aujourd’hui, cette transformation arrive à maturité.

Le nouveau module Compliance, présenté lors de l’Inside Club, est le premier module de cette nouvelle plateforme. Il constitue l’aboutissement de deux années de recherche et développement menées par nos équipes pour transformer la manière dont les organisations pilotent leur conformité et leurs risques cyber.

Construit autour d’un corpus unique de mesures canoniques, il permet d’automatiser la démonstration de conformité aux principaux référentiels — NIS2, DORA, ISO 27001, RGPD et bien d’autres — en réduisant des travaux qui nécessitaient plusieurs semaines à quelques minutes.

Cette nouvelle plateforme continuera de s’enrichir dans les prochains mois avec de nouveaux modules et avec Jerry, l’agent IA d’Egerie, capable d’accompagner les utilisateurs dans leurs activités de gouvernance, d’analyse des risques et de conformité.

Notre conviction est simple : nous entrons dans une nouvelle génération de logiciels. Demain, les professionnels de la cybersécurité ne travailleront plus seuls face à un logiciel ; ils piloteront des équipes d’agents IA spécialisés capables d’automatiser les tâches répétitives, d’accélérer les analyses et de proposer des recommandations, tout en laissant les décisions stratégiques sous le contrôle de l’humain.

Cette nouvelle plateforme marque l’aboutissement de deux années de transformation d’Egerie et ouvre une nouvelle étape : celle d’une gouvernance cyber augmentée par l’IA agentique, plus simple, plus rapide et accessible à toutes les organisations.

Découvrir le module Compliance →

Apprenez comment Egerie vous aide à gérer ISO, NIS2, DORA, PART-IS, ...

L’un de nos experts vous fera une démonstration personnalisée de la plateforme Egerie, afin qu’elle réponde le plus rapidement possible à votre objectif de mise en conformité à DORA.

Découvrez notre plateforme

Moins de complexité, plus d’impact.
On vous montre comment.

Demander une démo