Rapport d'Audit

Audit de Souveraineté IT

Évaluation complète des dépendances technologiques et des risques extraterritoriaux

Demo-ACME SA

Zurich, 22 janvier 2026
Classification: Confidentiel

EXEMPLE

Synthèse Exécutive

32/100

Score Global de Souveraineté

Niveau de Risque: ÉLEVÉ

Demo-ACME SA présente une dépendance critique aux fournisseurs américains (78% des assets). En tant qu'entreprise suisse traitant des données de clients européens, cette configuration expose l'entreprise à des risques juridiques (CLOUD Act, FISA 702) et réglementaires (nLPD, RGPD).

78%

Exposition CLOUD Act

25

Fournisseurs analysés

8

Actions prioritaires

+46 pts

Potentiel d'amélioration

Constats Critiques

IAM (Okta) - Point de défaillance unique sous CLOUD Act, accès potentiel à tous les systèmes
EDR (CrowdStrike) - Accès complet aux endpoints, télémétrie transmise aux USA
Données clients - 520'000 profils accessibles via Salesforce/HubSpot
Aucun plan B - Pas d'alternative en cas de restriction géopolitique ou de sanction

Profil de l'Entreprise

Informations Générales

Raison sociale Demo-ACME SA

Siège social Rue du Lac 12, 8001 Zurich

Secteur d'activité E-commerce B2C

Effectif 147 collaborateurs

Chiffre d'affaires 2025 CHF 45 millions

Données Traitées

Base clients 520'000 profils

Commandes mensuelles ~48'000

Répartition marché CH 65%, UE 30%, Autre 5%

Dossiers RH 147 dossiers complets

Historique financier 5 ans

EXEMPLE

Radar de Souveraineté - 6 Piliers

Localisation des données 32/100

Cadre juridique 18/100

Contrôle fournisseur 45/100

Réversibilité 28/100

Conformité réglementaire 52/100

Résilience opérationnelle 22/100

Analyse Détaillée par Pilier

Pilier	Score	Diagnostic
Localisation	32/100	100% des données sur clouds US (Azure, AWS). Aucune donnée en Suisse ou UE.
Cadre juridique	18/100	Exposition totale au CLOUD Act, FISA 702, EO 12333. Pas de garanties contractuelles.
Contrôle fournisseur	45/100	Lock-in fort (Microsoft, AWS). Dépendance critique sur 3 fournisseurs.
Réversibilité	28/100	Pas de plan de migration. Formats propriétaires. Coût de sortie estimé: CHF 2.5M.
Conformité	52/100	nLPD partiellement couvert. RGPD gaps identifiés (transferts CH-US).
Résilience	22/100	Aucune alternative en cas de sanction US ou restriction d'accès.

Méthodologie d'Évaluation

Chaque pilier est évalué selon une matrice de 15 critères pondérés, alignés sur les standards ISO 27001, les recommandations du PFPDT et les exigences RGPD. Le score global est la moyenne pondérée des 6 piliers.

EXEMPLE

Inventaire des Assets IT - Analyse de Souveraineté

Asset	Fournisseur	Type	Juridiction	Risque
Email / Collaboration	Microsoft 365	SaaS	USA (CLOUD Act)	Critique
Stockage Cloud	OneDrive / SharePoint	SaaS	USA (CLOUD Act)	Critique
Infrastructure Cloud	Microsoft Azure	IaaS	USA (CLOUD Act)	Critique
CRM	Salesforce	SaaS	USA (CLOUD Act)	Critique
Marketing Automation	HubSpot	SaaS	USA (CLOUD Act)	Élevé
Visioconférence	Zoom	SaaS	USA (CLOUD Act)	Élevé
Gestion d'identité (IAM)	Okta	SaaS	USA (CLOUD Act)	Critique
Endpoint Security (EDR)	CrowdStrike	SaaS	USA (CLOUD Act)	Critique
Base de données	Azure SQL	PaaS	USA (CLOUD Act)	Critique
Backup	Azure Backup	PaaS	USA (CLOUD Act)	Élevé
Analytics	Google Analytics	SaaS	USA (CLOUD Act)	Moyen
CDN	Cloudflare	SaaS	USA (CLOUD Act)	Moyen
Paiements	Stripe	SaaS	USA (CLOUD Act)	Élevé
ERP	SAP S/4HANA Cloud	SaaS	Allemagne (UE)	Faible

13

Assets US (CLOUD Act)

1

Assets UE

0

Assets Suisse

93%

Exposition extraterritoriale

EXEMPLE

Exposition aux Lois Extraterritoriales US

Les fournisseurs américains sont soumis à plusieurs lois permettant aux autorités US d'accéder aux données stockées à l'étranger, même si ces données appartiennent à des citoyens non-américains.

Le Principe du "Lien de Rattachement" (Nexus)

Les autorités américaines utilisent le principe du "nexus" pour justifier leur compétence extraterritoriale. Ce lien peut être aussi ténu que:

Une seule transaction en dollars américains (USD)
Un email transitant par un serveur situé aux États-Unis
L'utilisation d'un fournisseur cloud américain (même avec datacenter en Europe)
Un simple client américain parmi des milliers
Un paiement via une banque correspondante US

⚠ Demo-ACME SA présente de multiples liens de rattachement avec les USA via ses 13 fournisseurs américains.

Loi	Portée	Votre Exposition
CLOUD Act (2018)	Toute entreprise US doit fournir les données sur demande, même stockées hors USA	Maximum - Microsoft, Salesforce, AWS, Google
FISA 702	Surveillance des communications de non-citoyens US sans mandat judiciaire	Maximum - Tous les SaaS US
EO 12333	Collecte de renseignements sur les communications internationales	Élevé - Communications via infra US
NSL (National Security Letters)	Assignations administratives secrètes, sans contrôle judiciaire	Maximum - Tous les fournisseurs US
PATRIOT Act	Accès aux données dans le cadre de la lutte anti-terrorisme	Élevé - Données financières, communications

Impact Concret pour Demo-ACME SA

520'000 profils clients accessibles sur demande des autorités US via Salesforce
Emails et documents internes (stratégie, contrats, RH) via Microsoft 365
Données financières accessibles via Azure SQL et Stripe
Identités et accès de tous les employés via Okta
Télémétrie complète des postes de travail via CrowdStrike

Conformité Réglementaire Suisse et Européenne

nLPD (Suisse) - Gaps Identifiés

Art. 6 - Transferts à l'étranger Non conforme

Art. 8 - Sécurité des données Partiel

Art. 12 - Sous-traitants Partiel

Art. 19 - Information Conforme

RGPD (UE) - Gaps Identifiés

Art. 44-49 - Transferts Non conforme

Art. 28 - Sous-traitance Partiel

Art. 32 - Sécurité Partiel

Art. 35 - AIPD Absent

EXEMPLE

Recommandations Prioritaires

1. Migrer l'Email vers un Fournisseur Suisse Critique

Remplacer Microsoft 365 par Infomaniak kSuite ou Proton for Business. Ces solutions offrent un niveau de sécurité équivalent avec hébergement 100% en Suisse, hors CLOUD Act.

⏱ Délai: 3-6 mois 💰 Investissement: CHF 45'000 - 80'000 📈 Impact: +18 points sur le score

2. Rapatrier le Stockage Cloud Critique

Migrer les données OneDrive/SharePoint vers Infomaniak kDrive ou Tresorit (CH). Alternative: Nextcloud auto-hébergé chez Infomaniak.

⏱ Délai: 2-4 mois 💰 Investissement: CHF 25'000 - 50'000 📈 Impact: +12 points sur le score

3. Sécuriser l'IAM avec une Solution Européenne Élevé

Remplacer Okta par une solution européenne comme Keycloak (auto-hébergé) ou évaluer Auth0 EU (données en UE, mais Okta Inc.).

⏱ Délai: 4-6 mois 💰 Investissement: CHF 60'000 - 120'000 📈 Impact: +8 points sur le score

4. Adopter un CRM Européen Élevé

Évaluer les alternatives à Salesforce: Odoo (BE/CH), Pipedrive (EU), ou SuiteCRM auto-hébergé. Migration progressive par département.

⏱ Délai: 6-12 mois 💰 Investissement: CHF 80'000 - 150'000 📈 Impact: +6 points sur le score

5. Déployer une Infrastructure Hybride Moyen

Créer une infrastructure souveraine en parallèle d'Azure pour les workloads critiques. Options: Infomaniak Jelastic, Exoscale, ou Open Telekom Cloud.

⏱ Délai: 6-9 mois 💰 Investissement: CHF 100'000 - 200'000 📈 Impact: +8 points sur le score

Les noms des solutions alternatives sont masqués dans cet aperçu.
Commandez le rapport complet pour découvrir nos recommandations personnalisées de remplacement.

EXEMPLE

Budget de Transformation Estimé

Action	Année 1	Année 2	Total
Migration email (M365 → kSuite/Proton)	CHF 65'000	CHF 15'000	CHF 80'000
Migration stockage (OneDrive → kDrive)	CHF 40'000	CHF 10'000	CHF 50'000
Remplacement IAM (Okta → Keycloak)	CHF 90'000	CHF 30'000	CHF 120'000
Évaluation + pilote CRM	CHF 50'000	CHF 100'000	CHF 150'000
Infrastructure hybride souveraine	CHF 120'000	CHF 80'000	CHF 200'000
Formation et conduite du changement	CHF 35'000	CHF 25'000	CHF 60'000
Audit et accompagnement ADLIBO	CHF 25'000	CHF 15'000	CHF 40'000
TOTAL	CHF 425'000	CHF 275'000	CHF 700'000

Calendrier de Transformation (24 mois)

Phase	Trimestre	Livrables
Phase 1 - Quick Wins	T1 2026	Migration email, stockage cloud, visioconférence
Phase 2 - Sécurité	T2-T3 2026	Remplacement IAM, EDR européen, révision des accès
Phase 3 - Infrastructure	T3-T4 2026	Cloud hybride, bases de données souveraines
Phase 4 - Métier	T1-T2 2027	Migration CRM, analytics souverain
Phase 5 - Consolidation	T3-T4 2027	Optimisation, documentation, audit final

Projection du Score de Souveraineté

32

Score Actuel

58

Fin Année 1

78

Fin Année 2

+46

Progression Totale

EXEMPLE

Conclusion et Prochaines Étapes

Synthèse de l'Audit

L'infrastructure IT de Demo-ACME SA présente des risques de souveraineté significatifs en raison de la dépendance quasi-totale (93%) aux fournisseurs américains. Cette situation expose l'entreprise à des risques juridiques (CLOUD Act, FISA 702), réglementaires (nLPD, RGPD) et opérationnels (continuité d'activité en cas de tensions géopolitiques).

La transformation recommandée permettra de:

Protéger les données des lois extraterritoriales américaines
Assurer la continuité des opérations en cas de tensions géopolitiques
Renforcer la conformité nLPD et RGPD
Réduire le lock-in fournisseur et améliorer la réversibilité
Valoriser la souveraineté comme avantage concurrentiel (Swiss Made)

Prochaines Étapes Recommandées

Étape	Délai	Responsable
Réunion de restitution avec la direction	Semaine 1	ADLIBO + Direction Générale
Validation du plan de transformation	Semaine 2	Direction Générale
Lancement Phase 1 (Quick Wins)	Semaine 4	DSI + ADLIBO
POC avec fournisseurs sélectionnés	Mois 2	DSI
Point d'avancement trimestriel	Mois 3	ADLIBO + DSI

Contact ADLIBO

Consultant Philippe Biner

Email pb@adlibo.com

Téléphone +41 22 518 XX XX

Validité du Rapport

Date d'émission 22 janvier 2026

Validité 6 mois

Prochaine révision Juillet 2026

EXEMPLE