Méthodologie

Un cadre fondé sur les données, entièrement automatisé

L'Index européen de résilience numérique (EDRIX) mesure les résultats numériques tangibles et observables de chaque État membre de l'UE27 : quels systèmes d'exploitation ses citoyens, ses entreprises et ses administrations utilisent, quels navigateurs ils choisissent, qui héberge leurs sites et leur courriel, et quelle est la densité de leur communauté de développeurs. Ce sont des faits vérifiables, indépendants des déclarations d'intention politique.

Depuis la publication de juin 2026, l'EDRIX est calculé entièrement à partir de sources de données publiques et rafraîchissables automatiquement. Aucune curation manuelle. Aucun jeu de données fermé. Chaque publication trimestrielle est générée de bout en bout par le même pipeline.

L'EDRIX actuel (version 2.0) repose sur quatre piliers et cinq métriques brutes.

Les quatre piliers

Pilier Métrique(s)
Écosystème des développeurs Développeurs GitHub par habitant
Adoption par la base Part de Linux + Part des navigateurs souverains
Résilience du secteur privé Évaluation de souveraineté des domaines en TLD national
Résilience du secteur public Évaluation de souveraineté des domaines officiels / publics

1. Écosystème des développeurs

La résilience numérique suppose de pouvoir construire et maintenir la technologie, au-delà de sa seule consommation. Nous mesurons donc la densité de la communauté de développeurs de chaque pays.

  • Source : GitHub Innovation Graph, le jeu de données ouvert officiel de GitHub sur l'activité des développeurs, mis à jour trimestriellement.
  • Métrique : la part du pays dans la population mondiale de développeurs GitHub, normalisée par la population du pays en millions d'habitants. La normalisation par habitant empêche les grands pays de dominer mécaniquement un classement basé sur le nombre brut de développeurs.
  • Période : le trimestre le plus récent disponible au moment de la publication.

2. Adoption par la base

Les choix numériques concrets effectués par les citoyens et les entreprises sur leurs ordinateurs de bureau et portables. Deux sous-métriques, moyennées :

  • Part de Linux — la proportion du trafic humain depuis ordinateurs de bureau et portables du pays provenant d'une machine Linux.
  • Part des navigateurs souverains — somme des parts de Firefox et d'Opera parmi les visites humaines depuis ordinateurs de bureau et portables. Brave est classé comme Chrome par l'analyse des chaînes user-agent de Cloudflare et ne peut pas être distingué au niveau « famille de navigateurs » ; cette limitation est explicitement documentée.

Les deux proviennent de Cloudflare Radar, filtrés sur le trafic humain depuis ordinateurs de bureau et portables, agrégés sur une fenêtre glissante de 90 jours correspondant à la vue par défaut du tableau de bord Radar. L'agrégation est pondérée par le volume sur l'ensemble de la période — le même calcul que celui effectué par le tableau de bord Cloudflare Radar.

3. Résilience du secteur privé

Un indicateur de la souveraineté numérique des choix technologiques du secteur privé d'un pays.

  • Méthode : un algorithme d'évaluation de souveraineté est appliqué aux 1 000 premiers domaines de chaque TLD national selon le classement de Cloudflare Radar. Le serveur web et le serveur de courriel de chaque domaine sont classés par société propriétaire de l'ASN, indépendamment de la géolocalisation de l'IP. Une filiale d'une société américaine (par ex. Equinix (Germany) GmbH, Cloudflare London, LLC, Liquid Web B.V.) est classée comme américaine ; idem pour les filiales de sociétés britanniques (par ex. M247 Europe SRL, filiale de l'UK M247 Ltd). Les fournisseurs sous contrôle non-UE (US, UK post-Brexit) obtiennent 0,0 ; les fournisseurs UE obtiennent 1,0 ; les serveurs géolocalisés hors UE sans correspondance keyword obtiennent aussi 0,0 (filet de sécurité).

  • Les marques non-UE27 sur les TLD nationaux sont exclues. amazon.fr, google.sk, tiktok.fr, wise.fr, bbc.fr, yandex.fr, sony.fr, airbnb.fr et similaires utilisent un TLD national pour la localisation, mais la propriété sous-jacente appartient à une entreprise hors UE27 — comptabiliser Amazon-hébergeant-Amazon comme « souveraineté du secteur privé français » serait trompeur. La liste d'exclusion couvre ~140 enseignes réparties sur :

    • États-Unis (Google, Amazon, Microsoft, Meta, Apple, X, eBay, Airbnb, Tripadvisor, Netflix, Adobe, Salesforce, Cloudflare, Akamai, Fastly, OpenAI, etc.)
    • Chine (TikTok, Alibaba, Tencent, Baidu, JD, Xiaomi, Huawei, Temu, Shein, ByteDance, etc.)
    • Russie (Yandex, VK, Mail.ru, Ozon, Kaspersky)
    • Royaume-Uni (BBC, Sky, Wise, Vodafone, Arm, Dyson, depuis le Brexit)
    • Japon / Corée du Sud (Sony, Samsung, LG, Naver, Kakao, Line, Rakuten)
    • Israël, Suisse, Inde, Singapour, Australie (Wix, Fiverr, Nestlé, Logitech, Atlassian, Canva, Tata, etc.)

    Le filtrage s'effectue sur le second niveau de domaine, donc les sous-domaines sont également couverts. Spotify, Klarna, Booking.com (néerlandais) et d'autres acteurs numériques détenus par l'UE27 sont explicitement conservés. La liste est curable et revue à chaque publication. Disponible sur demande.

  • Échantillon : plafonné à 1 000 domaines par TLD national, après exclusion des marques américaines. Quelques TLD parmi les plus petits comptent moins de 1 000 entrées dans le top-1M de Cloudflare et contribuent tout ce dont ils disposent — Malte est le cas le plus extrême, avec 93 domaines .mt au total. Chypre (238) et le Luxembourg (247) sont les contraintes suivantes.
  • Agrégation : moyenne par pays sur l'échantillon. Les domaines non mesurables (non résolubles, sans MX, sans SOA) sont exclus.

L'échantillon top-N est un arbitrage délibéré. Les grands TLD (.de, .fr) comptent des dizaines de milliers de domaines dans le top-1M de Cloudflare ; faire la moyenne sur tous placerait le score allemand dans la longue traîne des petits sites allemands hébergés chez Hetzner ou Strato, plutôt que là où l'infrastructure la plus visitée par les Allemands réside réellement. La restriction au top-1 000 mesure honnêtement la surface à fort trafic et garde le bruit statistique faible (~1,5 point de pourcentage d'erreur standard sur un taux de 50 %). Les pays à petit TLD utilisent l'intégralité de leur jeu et restent dans la comparaison.

4. Résilience du secteur public

La souveraineté technologique de l'État lui-même : où sont hébergés les sites de la présidence, du gouvernement et de la capitale.

  • Méthode : le même algorithme d'évaluation de souveraineté, appliqué à une liste curatée de domaines officiels / publics (~3 par pays : chef de l'État, portail gouvernemental, ville capitale).
  • Agrégation : moyenne par pays.

Calcul détaillé de l'index

La même normalisation en trois étapes s'applique à chaque publication trimestrielle.

Étape 1 — Normalisation de chaque métrique sur 0–10.
Chacune des cinq métriques brutes est normalisée (min-max) entre les 27 États membres : la valeur la plus basse obtient 0, la plus haute obtient 10, et les autres sont interpolées linéairement.

Étape 2 — Score par pilier.
Les piliers composés de plusieurs métriques — uniquement l'adoption par la base aujourd'hui — prennent la moyenne non pondérée des scores normalisés de leurs sous-métriques. Les piliers à métrique unique utilisent la valeur normalisée directement. Les scores des piliers sont ensuite renormalisés entre les 27 États membres sur 0–10, afin que chaque pilier puisse atteindre sa pleine amplitude et contribue de manière égale à l'index final.

Étape 3 — EDRIX.
Le score EDRIX final est la moyenne arithmétique des quatre scores normalisés des piliers, allant de 0 (dernier rang dans chaque pilier) à 10 (premier rang dans chaque pilier).

Archive et traçabilité

Chaque publication trimestrielle est générée par un pipeline automatisé unique qui rafraîchit les cinq métriques, assemble les entrées et recalcule l'index — un processus qui s'exécute en moins de deux minutes contre les sources de données en direct.

Pour chaque publication, nous archivons, sous forme datée, les entrées assemblées, un instantané par métrique et l'index calculé. Comme la normalisation par pilier est min-max sur les 27 États membres, toute édition passée peut être recalculée exactement à partir de ses entrées archivées. L'archive complète — éditions courantes et antérieures, versions méthodologiques incluses — est disponible sur demande à des fins de vérification académique ou journalistique.

Historique méthodologique

EDRIX 1.0 (septembre 2025) — cinq piliers

La publication initiale utilisait un cadre à cinq piliers avec deux entrées supplémentaires qui ont depuis été retirées :

  1. Politiques publiques — basé sur le rapport 2024 de l'Open Source Observatory (OSOR). Notait la stratégie Open Source du secteur public de chaque pays, la présence d'OSPO et le cadre juridique.
  2. Écosystème des développeurs — Développeurs GitHub par habitant plus nombre par habitant de solutions vérifiées dans le Répertoire EuroStack.
  3. Adoption par la base — Part de Linux + Part des navigateurs souverains + une sous-métrique séparée « Part des navigateurs Open Source » (Firefox + Brave uniquement) utilisée uniquement pour EOTRIX.
  4. Résilience numérique du secteur privé — Évaluation des domaines plus nombre par habitant de signataires de l'initiative industrielle EuroStack.
  5. Résilience numérique du secteur public — identique à l'actuel pilier résilience du secteur public.

La publication de septembre 2025 calculait également un index compagnon, EOTRIX (European Open Technology Readiness Index) — un score à 3 piliers restreint à OSOR + Développeurs GitHub + Linux/Navigateurs Open Source. EOTRIX a été retiré en attente d'une refonte.

Pourquoi la méthodologie a changé (mai 2026)

Pour rendre la publication automatisée et régulière possible, chaque entrée devait être rafraîchissable automatiquement. Trois entrées étaient incompatibles avec cet objectif :

  • Évaluations OSOR 2024 — curation manuelle, mise à jour moins d'une fois par an, source : rapports PDF. Retirée. Le pilier Politiques publiques a été fusionné avec résilience du secteur public — les deux mesurent les choix numériques portés par l'État, et l'évaluation des domaines publics est la mesure la plus directe et la plus facilement rafraîchissable de la pratique du secteur public.
  • Solutions EuroStack par habitant — curation manuelle par le projet EuroStack, mises à jour peu fréquentes. Retirée.
  • Signataires EuroStack par habitant — idem. Retirée.

L'EDRIX 2.0 à quatre piliers en est le résultat. Toutes les métriques restantes se rafraîchissent en moins de deux minutes à partir de sources publiques et automatisées.

Corrections de qualité des données connues

Septembre 2025 : colonne résilience du secteur public. Les entrées originales de septembre 2025 utilisaient par erreur la même valeur pour la résilience du secteur privé (ensemble des domaines en TLD national) et la résilience du secteur public (domaines officiels / publics uniquement) — la colonne du secteur public n'avait jamais été mesurée séparément. La correction rétroactive (juin 2026), utilisant la même base de domaines d'août 2025 contre la logique d'évaluation actuelle, produit un tableau du secteur public sensiblement différent pour cet instantané historique. L'effet le plus visible est la chute de la République tchèque du 3e au 6e rang dans le classement de septembre 2025 corrigé (son score secteur public était gonflé par le bug de duplication), et sept pays (Autriche, Croatie, Allemagne, Hongrie, Luxembourg, Roumanie, Slovénie) atteignant un véritable 10/10 en résilience du secteur public dans cet instantané corrigé de septembre 2025. La publication de juin 2026 montre des chiffres différents — seuls quatre pays (Autriche, Croatie, Roumanie, Slovénie) atteignent 10/10 — parce que l'hébergement sous-jacent a évolué pendant les neuf mois intermédiaires et parce que la méthodologie EDRIX 2.0 distingue désormais les fournisseurs UE des fournisseurs hors UE (US et UK post-Brexit) au lieu de regarder seulement la géolocalisation de l'IP.

Juin 2026 : méthode d'agrégation Cloudflare. La première exécution de juin 2026 calculait la Part de Linux et la Part des navigateurs souverains en moyennant des instantanés horaires du trafic, ce qui biaisait le résultat d'environ 0,5 à 1,0 point de pourcentage vers le haut par pays (l'usage de Linux est surreprésenté pendant les heures creuses nocturnes, et une moyenne horaire simple surpondère ces heures). La méthodologie actuelle utilise des agrégats pondérés par le volume sur la même période — le même calcul que celui effectué par Cloudflare Radar pour son propre tableau de bord. Les valeurs initiales de juin 2026, si elles ont été citées quelque part, doivent être considérées comme dépassées.

Périmètre et choix de mesure

Pourquoi le web et le mail ?

Le web et le mail sont les seules couches d'infrastructure publiquement observables et mesurables systématiquement à l'échelle de plus de 26 000 domaines (top-1 000 × 27 TLD). N'importe qui avec un résolveur DNS et un client HTTP peut reproduire la mesure ; aucun accès privilégié n'est requis. Les couches « cachées » (workloads internes, paiements, IoT, applications mobiles) sont souvent plus dépendantes des hyperscalers américains que ce que l'EDRIX révèle — mais elles ne sont pas mesurables depuis l'extérieur sans audit organisationnel. Inclure ces couches transformerait l'EDRIX d'un indice public et reproductible en un audit propriétaire.

Le web et le mail constituent un échantillon représentatif de la posture de souveraineté, sans prétention à l'exhaustivité. Un site présidentiel servi par Cloudflare relève d'un choix conscient et public, révélateur de la posture de l'État. Le cas inverse — un secteur souverain sur le web et le mail mais entièrement sur AWS pour ses workloads internes — demeure statistiquement rare.

Pourquoi mesurer la part de Linux sur les ordinateurs de bureau et portables ?

C'est le signal d'adoption grand public le plus concret d'une alternative aux écosystèmes Windows/macOS dominés par les États-Unis. Il capture à la fois l'engagement technique (Linux exige du savoir-faire) et le choix conscient d'une option non-US.

Ses limites sont explicites : il ne mesure pas le Linux côté serveur (où il domine déjà partout), ne capture pas ChromeOS, ne distingue pas les distributions. À 4,0 % UE27, c'est un indicateur de tendance : c'est précisément l'évolution qui compte — passer de 3,7 % à 4,0 % en neuf mois est mesurable, comparable entre pays et reproductible via Cloudflare Radar.

Une métrique alternative (achats d'équipements certifiés Linux, déploiements en collectivité, taux d'engagement sur les distributions européennes) serait soit non-mesurable publiquement, soit non comparable entre les 27 États membres.

Pourquoi mesurer les développeurs via GitHub, alors que GitHub appartient à Microsoft ?

Mesurer les développeurs via GitHub comporte une ironie assumée : GitHub appartient à Microsoft, une entreprise américaine, alors que l'EDRIX mesure la résilience numérique européenne.

Les données de l'Innovation Graph sont le meilleur proxy public disponible pour la densité de la communauté de développeurs d'un pays — jeu de données ouvert, par pays, trimestriel, reproductible. Les alternatives ne sont pas exploitables au niveau pays : GitLab ne publie pas de statistiques d'activité par pays accessibles ; Codeberg n'a pas répondu à nos demandes. La métrique sera complétée par d'autres sources dès que des données comparables seront disponibles.