Hausse tarifaire subie, migration impossible, verrou contractuel, fournisseur incontournable… La dépendance numérique est une réalité devenue ingouvernable. Il est temps que cela change. L’Indice de résilience numérique veut concrétiser cette dépendance sous forme de score comparable, veut transformer ces “accidents” en risques pilotables, ramener la quête d’autonomie à une quête de résilience menée grâce à des arbitrages de gouvernance.
Depuis l’arrivée de Donald Trump au pouvoir, la géopolitique n’a jamais autant télescopé l’agenda des DSI. Les sujets de souveraineté numérique de l’Europe sont revenus au premier mais sous un nouvel angle, celui de la trop grande dépendance de l’Europe aux technologies informatiques américaines et la nécessité de retrouver bien plus d’autonomie.
Le sujet est devenu si omniprésent que les événements se multiplient et s’entrechoquent avec un manque certain de mise en musique et de coordination. Rien qu’en ce mois de janvier 2026, le Hub des Territoires de la Banque des Territoires a organisé un événement hybride intitulé « Parlons Inclusion Numérique… construire l’autonomie numérique », la DINUM a tenu sa convention pour pousser « La Suite Numérique » notamment auprès des Armées et l’Innovation Makers Alliance organise à Bercy son second « Sommet de la Souveraineté Technologique et de l’Autonomie Stratégique du Numérique ».
Et on se demande toujours ce qui va ressortir de réellement concret de toutes ces bonnes volontés affichées et mal coordonnées.
Mais cette fois, trois lettres émergent des réflexions en cours : IRN, acronyme d’Indice de Résilience Numérique.
L’IRN, doit faire son entrée officielle le 26 janvier dans le paysage de la gouvernance IT française. L’ambition est claire et, sur le papier, salutaire. Transformer un sujet généralement traité à l’intuition ou dans l’urgence, la dépendance numérique, en un objet mesurable, donc arbitrable, au niveau des comités exécutifs. L’IRN se présente comme un « thermomètre » destiné à ramener le « brouillard » des dépendances technologiques dans un tableau de bord compréhensible par les dirigeants.
Cet indice est né d’une initiative collective portée par trois fondateurs (David Djaïz, Yann Lechelle et Arno Pons) avec le soutien de partenaires clés, comme Docaposte et RTE. Le projet a été présenté pour la première fois lors des Rencontres économiques d’Aix en juillet 2025, avant de monter progressivement en puissance à travers différents ateliers, groupes de travail et consolidation des critères méthodologiques.
Ce que l’IRN cherche à corriger
La dépendance technologique est partout, mais bien trop souvent ignorée. Elle revient comme un boomerang lors des renouvellements de licences, des hausses tarifaires décrétées unilatéralement par les géants américains, des migrations qui doivent être reportées faute de compétences ou d’alternatives connues, de clauses contractuelles douloureuses jusqu’ici passées inaperçues ou de verrous technologies qui rendent brutalement le Plan B envisagé irréalisable. Autant d’événements qui ressemblent à des accidents, alors qu’ils sont souvent le produit d’une dépendance accumulée.
La dépendance technologique est partout… sauf dans les tableaux de bord de gouvernance de l’IT. Car il n’existe pas de métriques et de méthodologie standardisées pour l’évaluer. Résultat, les arbitrages montent au Comex sous forme de récits, souvent perçus comme des excuses plutôt que comme des faits pilotables.
L’une des innovations fondamentales de l’IRN réside ainsi dans sa méthodologie. Plutôt que de tenter l’inventaire exhaustif de tout le patrimoine IT (exercice voué à l’échec, on le sait bien), l’indice part des métiers et des fonctions vitales pour l’entreprise.
La logique est pragmatique : on commence par définir ce qui est vital pour l’activité, puis on cartographie ce qui fait tenir ces fonctions vitales en reconstituant l’ensemble des actifs numériques qui les composent. Ces actifs peuvent être des produits, des services, des infrastructures, mais également des compétences humaines, une dimension trop souvent négligée.
Cette entrée par le « système critique » présente un avantage majeur : elle oblige à une discussion au niveau du comité de direction, seul échelon capable d’identifier ce qui est véritablement vital pour l’entreprise. Car l’IRN finalement mesure la résilience de ce qui ne doit pas tomber. Il devient ainsi un outil « Comex-compatible », conçu pour faciliter les arbitrages stratégiques.
Ainsi, ce que l’indice cherche à rendre visible, c’est l’écart entre l’idée de « maîtrise » et la « réalité d’un SI » enchâssé dans des chaînes d’approvisionnement, des contrats, des plateformes cloud, des briques logicielles et des compétences critiques.
Ce que l’IRN mesure
Ce que l’IRN mesure dépasse largement la cybersécurité. Il traite la résilience comme une combinaison de risques business, sécurité et technologiques, déclinés en huit dimensions.
* Côté business, la dépendance devient un risque stratégique quand un tiers peut, de fait, interrompre ou dégrader l’activité. Elle devient un risque économique quand l’entreprise se retrouve capturée dans une trajectoire de coûts qu’elle ne contrôle plus.
* Côté sécurité, l’indice couvre les questions classiques de cyber et de continuité opérationnelle, mais intègre aussi des facteurs de résilience plus “physiques”, liés aux infrastructures et à leurs contraintes environnementales, parce qu’un service numérique dépend aussi d’une exploitation viable et durable.
* Côté technologie, l’indice s’intéresse à la capacité à comprendre et maîtriser les composants clés, notamment quand l’entreprise s’appuie sur des briques opaques, de plus en plus présentes avec l’IA. L’enjeu n’est pas philosophique. Quand la performance vient avec l’opacité, la sortie, l’audit, la maîtrise du risque et la capacité à changer de fournisseur deviennent mécaniquement plus difficiles.
L’objectif n’est pas de produire un rapport technique de plus, mais un score et un diagnostic que l’on peut discuter en gouvernance. La logique d’évaluation tend à distinguer, pour chaque dimension, ce qui est résilient et ce qui ne l’est pas, afin d’identifier où se trouvent les dépendances réellement dangereuses. C’est tout l’objectif de l’IRN : une organisation n’a pas besoin d’un énième inventaire, elle a besoin d’un instrument qui hiérarchise et qui tranche entre ce qui est tolérable et ce qui ne l’est pas.
Et après ?
La crédibilité de l’IRN se jouera sur son usage. Un indice n’a d’intérêt que s’il est exploité et déclenche des décisions : diversifier les fournisseurs critiques, renégocier des clauses qui enferment, exiger des garanties de réversibilité et de portabilité, réduire une dépendance de compétences par formation et documentation, revoir une architecture pour diminuer les points de verrouillage, mettre sous contrôle les chaînes de sous-traitance.
L’IRN est un score d’autonomie, charge aux entreprises de le transformer en trajectoire d’indépendance. L’ambition de l’IRN est de fournir un cadre pour regarder la dépendance sans complaisance, puis décider, système critique par système critique, ce qui doit être sécurisé, diversifié, rendu migrable ou pleinement maîtrisé. L’objectif n’est pas de faire disparaître toute dépendance numérique, mais de la rendre visible, assumée et arbitrée. En un mot : gouvernable.
puis