Dossiers
Chroniques
Guides et carnets
Évènements
Tech In Sport
Green Tech Leaders
Alliancy TV
Alliancy Elevate
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Innovation
Alliancy Studio
Alliancy Le Mag
Aux APIdays, au CNIT, les initiateurs de l’Indice de Résilience Numérique (IRN) ont présenté les premières avancées méthodologiques et retours d’expérience de ce futur standard de marché. Objectif : aider les dirigeants à cartographier leurs dépendances numériques et arbitrer sans dogme.
L’Indice de Résilience Numérique (IRN) ne révèle pas tant des risques inconnus qu’un défaut de vision d’ensemble. Les premières conclusions issues des entreprises pilotes montrent une réalité largement partagée. Les dépendances numériques existent, mais elles ne sont ni consolidées ni pilotées comme un risque stratégique. “La résilience numérique, c’est tout le répertoire de la maîtrise des risques numériques”, a expliqué David Djaiz, partner chez Ascend Partners. Derrière cette définition, un constat partagé par les entreprises pilotes : les risques sont traités en silos, cyber, cloud, IA, fournisseurs, sans être agrégés dans une lecture stratégique unique. Résultat, le COMEX ne voit que des fragments, rarement la trajectoire globale de dépendance qui se construit dans le temps. “L’IRN est l’an zéro d’un long voyage”, a conclu David Djaiz, associé et dirigeant Ascend Partners. Il appelle également à une “conversion du regard” sur l’IT, non plus pensée comme une fonction support mais comme un actif critique dont la fragilisation peut devenir existentielle. Cette bascule intellectuelle constitue, en soi, l’une des premières conclusions de l’indice.
Un standard pour arbitrer, pas pour normaliser
Cette volonté de clarification explique le positionnement assumé de l’IRN. “C’est un standard de place, pas une norme”, a précisé Arno Pons, fondateur de Digital New Deal. Contrairement aux cadres réglementaires ou aux labels, l’IRN ne produit ni score ni conformité attendue. Il fournit un cadre commun d’auto-évaluation, pensé pour objectiver des arbitrages internes. Chaque entreprise construit son propre écran radar à partir de ses services critiques, industriels ou métiers. “Il n’y a pas de bonne forme d’écran radar”, a-t-il été rappelé, car les dépendances acceptables pour un acteur peuvent être inacceptables pour un autre. Cette absence de hiérarchisation externe est centrale, elle permet d’exposer des dilemmes réels plutôt que de masquer la complexité derrière un indicateur synthétique. C’est précisément dans cette zone grise que l’IRN se révèle utile, en rendant visibles des compromis jusqu’ici implicites.
Souveraineté et résilience, une équation non binaire
Les premières conclusions de l’IRN déconstruisent également un réflexe largement répandu, à savoir assimiler souveraineté et résilience. Les retours des entreprises pilotes montrent au contraire que la dépendance ne peut être évaluée indépendamment du contexte opérationnel et stratégique. “Vaut-il mieux dépendre de trois acteurs américains ou d’un monopole français ? Il n’y a pas de bonne réponse, ça dépend”, a résumé Xavier Piechaczyk, PDG de RTE. Il souligne la nécessité d’un diagnostic contextualisé plutôt qu’une grille de lecture idéologique. Ce questionnement traverse l’ensemble des cas étudiés. Une multinationale exposée à plusieurs juridictions, un groupe industriel opérant des infrastructures critiques ou une entreprise réalisant une part significative de son activité aux États-Unis n’arbitrent ni avec les mêmes contraintes, ni avec les mêmes marges de manœuvre. Pour certaines, le recours à des fournisseurs américains peut relever d’une logique de continuité opérationnelle ; pour d’autres, il constitue un risque stratégique. L’IRN ne prétend pas résoudre ces dilemmes, mais il oblige à les formuler clairement. En rendant visibles des paramètres souvent relégués au second plan, clauses contractuelles, conditions de sortie, interopérabilité réelle des solutions, l’outil déplace le débat de la posture vers l’arbitrage, et du principe vers la gouvernance.
Achats et contrats, le talon d’Achille des SI
Dans le prolongement de ce diagnostic global, les retours d’expérience convergent sur plusieurs zones de vulnérabilité particulièrement mal maîtrisées. “Les achats sont un énorme angle mort”, a alerté David Djaiz. Le dirigeant d’Ascend partners a pointé des politiques d’approvisionnement historiquement guidées par le coût ou la performance immédiate, sans évaluation structurée du risque de dépendance. Cette dépendance est renforcée par des cadres contractuels peu protecteurs. Clauses de réversibilité théoriques, interopérabilité limitée, rapports de force défavorables face à certains éditeurs. SAP illustre parfaitement cette mécanique. Historiquement installé au cœur des fonctions finance, RH ou logistique, l’ERP s’est imposé comme une colonne vertébrale des grandes organisations. Avec l’évolution de son offre, les entreprises sont désormais incitées à migrer vers des versions plus récentes, conçues pour fonctionner comme des services en continu plutôt que comme des logiciels maîtrisés en interne. “Sortir de SAP est, en pratique, extrêmement difficile”, a expliqué Xavier Piechaczyk, PDG de RTE. Même lorsque des alternatives techniques existent, le coût, la complexité et les impacts métiers rendent la sortie théorique. “On peut encore le faire, mais à un coût dissuasif”, a-t-il précisé. L’IRN ne dénonce pas ces choix ; il les rend visibles, en obligeant les entreprises à mesurer ce qu’elles acceptent réellement sur des systèmes devenus vitaux.
La dépendance qui ne se voit pas
Au-delà des outils et des contrats, les premières conclusions de l’IRN mettent en lumière une fragilité moins tangible, mais tout aussi critique : la perte progressive de maîtrise interne. Plusieurs entreprises pilotes ont souligné la raréfaction de compétences capables de comprendre, maintenir ou faire évoluer des systèmes essentiels. À force d’externaliser, de sous-traiter ou de standardiser, certaines organisations ne disposent plus des ressources nécessaires pour reprendre la main en cas de rupture. C’est dans ce contexte que l’IA s’inscrit comme un facteur aggravant. Déployée pour gagner en efficacité ou en productivité, elle peut aussi renforcer la dépendance si elle repose sur des modèles peu explicables ou sur des fournisseurs difficilement substituables. Certaines entreprises pilotes ont commencé à intégrer cette dimension dans leurs arbitrages. “On a fait le choix de modèles comme Mistral pour certains usages”, a expliqué Sébastien Henry, DSI de Docaposte, traduisant une volonté de ne pas dissocier innovation technologique et autonomie opérationnelle. L’IRN ne provoque pas de ruptures brutales, mais il modifie la nature des discussions stratégiques. “Ça a confirmé certaines décisions et obligé à en réinterroger d’autres”, a témoigné Xavier Piechaczyk, citant la réinternalisation du développement sur des applications critiques chez RTE. L’indice agit comme un révélateur de cohérence, ou d’incohérence. À ce stade, il ne promet pas la résilience. Il impose surtout un exercice de lucidité, là où les dépendances numériques étaient encore trop souvent tolérées par défaut.
