Méthodologie

Une méthode publiée, pas une boîte noire.

Un observatoire n'est crédible que si sa méthode est vérifiable. Voici exactement ce que le scan observe, comment il note, et surtout ce qu'il ne prétend pas voir.

Le principe

Uniquement des signaux publics.

Le scan ne lit que ce que tout visiteur ou tout navigateur voit déjà : résolutions DNS, certificats publics, en-têtes des serveurs, ressources chargées par la page d'accueil. Aucune intrusion, aucun test d'accès, aucune authentification — c'est légal et cela doit le rester.

Ce que cela implique. Nous ne « piratons » rien et ne touchons pas à vos systèmes. Nous lisons la trace publique que votre infrastructure laisse naturellement, puis nous l'interprétons.
Ce que le scan observe

Six familles de signaux.

L'annuaire (DNS)

Qui traduit votre nom de domaine en adresse machine. Cet opérateur voit et peut rediriger tout votre trafic entrant.

L'hébergement (frontal + origine)

La porte d'entrée (CDN, pare-feu) et le serveur qui héberge réellement votre site. Nous distinguons les deux, car ils relèvent parfois de juridictions différentes.

La messagerie

L'opérateur qui reçoit et stocke vos e-mails. Pour une PME, c'est souvent le signal de souveraineté le plus important : devis, contrats, échanges RH y transitent.

Le cloud applicatif

Les services en ligne que vous utilisez, révélés par vos sous-domaines et certificats publics, classés par pays de juridiction.

Les traceurs tiers

Les services chargés par votre page d'accueil (mesure d'audience, publicité) qui collectent des données sur vos visiteurs, et sous quelle juridiction.

Le certificat & les briques techniques

L'émetteur de votre certificat de sécurité et les ressources tierces embarquées.

La distinction qui change tout

Juridiction ≠ géographie.

Le verdict repose sur le droit applicable à l'opérateur, pas sur l'emplacement physique du serveur. Un serveur situé en Europe mais opéré par une entreprise soumise à un droit extra-européen relève de ce droit. Nous affichons le drapeau de juridiction, et la localisation physique en complément quand elle diffère.

La notation

Un score sur 100, pondéré et transparent.

Nous surpondérons ce qui compte réellement pour une PME — la messagerie et l'hébergement — et nous accordons un crédit partiel plutôt qu'un tout-ou-rien.

Brique observéePoidsPrincipe de notation
Messagerie25Souverain UE = plein ; pénalité si un émetteur extra-UE apparaît
Hébergement (frontal + origine)25Crédit au prorata entre la porte d'entrée et le serveur d'origine
Cloud applicatif15Part des services souverains, au prorata
Annuaire DNS10Souverain = plein ; extra-UE = 0
Traceurs tiers (vie privée)10Plein si aucun traceur extra-UE ; dégressif selon le nombre
Identité / connexion10Si observable ; sinon le poids est redistribué
Certificat & briques tierces5Souverain = plein ; extra-UE = 0
Total100
≥ 70
Largement souverain
35 – 69
Dépendances à réduire
< 35
Fortes dépendances extra-UE
Hygiène affichée à part. Les bonnes pratiques techniques (signature DNSSEC, politique anti-usurpation d'e-mail) sont présentées séparément du score de souveraineté : ce sont des indicateurs de sérieux, pas de dépendance.
Les limites, dites honnêtement

Ce que le scan ne peut pas voir.

De l'extérieur, certaines choses restent invisibles — et prétendre le contraire serait malhonnête. Ces points relèvent d'un audit sur site.

La localisation réelle des données

Et vos sauvegardes, leur fréquence, leur emplacement.

Les contrats & accès support

Qui peut accéder à vos systèmes côté prestataire, et à quelles conditions.

Vos postes & votre gestion

Bureautique réellement utilisée, ERP, clés de chiffrement.

C'est volontaire. Le scan situe et alerte ; l'audit approfondi complète le tableau là où l'observation publique s'arrête.