Forum InCyber — Épisode 1 : « Le vrai sujet, c’est l’excès de dépendance », selon Guillaume Tissier

Pour sa première émission en direct du Forum InCyber 2026 à Lille, IT for Business a choisi de revenir au concret avec un thème central : les dépendances technologiques. Entourée d’acteurs de la cyber, du cloud et de la sphère publique, cette séquence a exploré un enjeu désormais stratégique : comment identifier, mesurer et réduire des dépendances qui peuvent fragiliser les organisations.

Guillaume Tissier, directeur général du Forum InCyber Europe, a donné le ton d’entrée. Pour lui, il est inutile d’abandonner le mot « souveraineté », mais il vaut mieux regarder sa traduction pratique. « Les dépendances, c’est la face opérationnelle. C’est ce que crée finalement le manque de souveraineté », explique-t-il. Le glissement n’a rien d’un détail sémantique. Il permet surtout d’éviter les débats interminables sur la définition du concept pour revenir à ce que les organisations subissent réellement : des choix technologiques qu’elles ne maîtrisent plus tout à fait, des chaînes de valeur trop allongées, des fournisseurs devenus incontournables.

Guillaume Tissier le rappelle toutefois sans posture martiale : personne ne vivra demain dans une autarcie numérique heureuse. « Cette souveraineté n’est jamais parfaite. On est dans une économie globale, dans des chaînes de valeur mondialisées. Donc, l’idée, ce n’est pas de dire qu’il faut être totalement autarcique. » Le vrai sujet, dit-il, n’est pas la dépendance en soi, mais « la dépendance qui n’est pas maîtrisée, la dépendance qui est asymétrique, qui n’est plus une interdépendance ». Là, oui, le problème commence.

Le diagnostic vaut autant pour la disponibilité que pour la liberté d’action. Un service coupé, un fournisseur systémique en difficulté, une décision politique qui ferme un accès : la dépendance cesse alors d’être une abstraction pour devenir un risque de continuité d’activité. Dit autrement, le sujet n’est plus seulement cyber, ni seulement économique. Il devient stratégique. Et il doit être traité comme tel, dès l’architecture. « Une fois que l’on connaît ces dépendances, on a différents leviers pour agir dessus, qu’ils soient contractuels, juridiques, techniques. »

L’autonomie commence aussi dans la tête

Le propos de Guillaume Tissier a un autre mérite : rappeler que la dépendance n’est pas seulement technologique. Elle est aussi intellectuelle. « Il faut penser ces marchés, les connaître, connaître les acteurs, analyser les tendances à travers aussi le prisme de nos propres intérêts, de nos propres valeurs », plaide-t-il. Une manière polie de dire que l’Europe continue trop souvent de regarder son propre marché à travers les lunettes des autres.

Sur ce point, son message est moins doctrinal qu’il n’y paraît. Il ne s’agit pas de sanctifier une offre au seul motif qu’elle serait souveraine. « L’idée, ce n’est pas d’acheter un produit uniquement parce qu’il est souverain. Il faut d’abord qu’il soit efficace fonctionnellement, compétitif au plan économique, et ensuite, s’il peut être souverain, c’est beaucoup mieux. » En somme : arrêter l’achat réflexe sans tomber dans l’achat militant. Pour un DSI, la nuance compte.

Avant de réduire ses dépendances, encore faut-il savoir où elles sont

C’est précisément ce retour au concret qu’a prolongé François Deruty, Chief Intelligence Officer de Sekoia.io. Son point de départ tient presque du bon sens, ce qui explique sans doute pourquoi il est si souvent oublié : « D’abord, bien connaître son système d’information. Faire sa cartographie, avoir ses éléments. » Derrière les discours sur la souveraineté se cache une réalité plus prosaïque : beaucoup d’organisations empilent des briques sans savoir exactement ce qu’elles couvrent, ce qu’elles apportent, ni à quel point elles sont devenues critiques.

François Deruty décrit une mécanique familière à bien des RSSI et DSI : on ajoute du firewall, de l’EDR, de l’IAM, des outils de détection, des consoles, des couches de pilotage. Puis on oublie de se demander si tout cela reste lisible et utile. « À quel moment on se pose la question de savoir si ces briques sont utiles ? Est-ce que je les monitore bien ? Est-ce que je suis capable de détecter une intrusion dessus ? » La charge vise au fond une forme d’inflation silencieuse de l’outillage.

Chez Sekoia, cette lecture débouche sur une approche par le risque : croiser l’état réel du SI, les flux, les versions, les protections déployées, avec le renseignement sur la menace. Le propos est simple : une dépendance se maîtrise mieux lorsqu’elle est mesurée en fonction du risque qu’elle crée ou ne couvre pas. Et lorsqu’une brique n’apporte plus la valeur attendue, il devient enfin possible d’envisager de la remplacer.

Interopérable ou captif : la vraie ligne de fracture

Ce point rejoint directement le discours que porte l’éditeur depuis plusieurs années autour de l’OpenXDR. Pour François Deruty, l’interopérabilité n’est pas un luxe technique. C’est une condition de respiration. « On se positionne un peu comme la tour de contrôle », dit-il, en revendiquant plus de 300 intégrations avec des solutions tierces. L’enjeu n’est pas d’empiler encore davantage, mais de rendre possible une substitution progressive, brique par brique, sans faire sauter tout l’édifice.

Le message mérite d’être retenu : on ne sort pas d’une dépendance par un grand soir technologique. On en sort par une stratégie de remplacement patiente, réaliste, économiquement supportable. Et cette stratégie suppose des standards, de l’interopérabilité et une capacité de pilotage centralisée. Le tout avec une autre exigence, plus politique qu’il n’y paraît : savoir parler au COMEX autrement qu’en jargon cyber. Sans quoi les arbitrages budgétaires continueront à se prendre loin des réalités opérationnelles.

L’IRN ou la tentative de mettre enfin un chiffre sur le problème

Avec Arnaud Martin, directeur des risques opérationnels de la Caisse des dépôts, la discussion a changé de focale pour entrer dans celle, plus rare, de l’objectivation. Son mérite a été de poser une question que beaucoup esquivent encore : « On parle beaucoup de souveraineté numérique, mais de quoi parle-t-on réellement ? »

La réponse prend la forme d’un outil, l’IRN, pour indicateur de résilience numérique. L’idée n’est pas de distribuer des certificats de pureté souveraine ni de tomber dans le « sovereignty washing ». Elle consiste à regarder un système critique à travers huit axes mêlant cybersécurité, continuité d’activité, dépendances fournisseurs, dimensions réglementaires et désormais, de façon explicite, risque géopolitique. Car oui, la dépendance n’est plus simplement contractuelle ou technique. Elle peut aussi devenir diplomatique.

Arnaud Martin le formule sans détour : il faut désormais intégrer « la possibilité que, si on est dans un SaaS sur un acteur américain, russe ou chinois d’ailleurs, sur décision unilatérale politique ou du géant de la tech, le service puisse purement et simplement être coupé ». Dit comme cela, le débat gagne en netteté. L’IRN n’a pas vocation à faire joli dans une présentation PowerPoint. Il vise à installer un langage commun entre DSI, RSSI, directions générales et conseils d’administration. « Cette vision boussole, cette vision 360 autour des huit axes, leur permet d’avoir une vision globale », insiste-t-il.

Le problème, ce n’est pas seulement de voir. C’est aussi de financer

L’autre intérêt de l’intervention d’Arnaud Martin est d’avoir rappelé une évidence française que l’on oublie souvent : la réduction des dépendances ne se résume pas à mieux choisir ses fournisseurs. Elle suppose aussi de faire grandir ceux qui prétendent incarner l’alternative. La Caisse des dépôts se voit ici comme un accélérateur plus que comme un simple observateur. Son plan Horizon Numérique 2030 doit mobiliser « 18 milliards d’euros » pour soutenir les écosystèmes de la cyber, du cloud, du quantique et de l’IA.

Autrement dit, il ne suffira pas de réclamer des champions européens. Il faudra les financer avant de leur reprocher de ne pas être déjà à l’échelle.

La donnée : cet actif stratégique que beaucoup connaissent encore mal

L’intervention de Nicolas Anéas, Regional Pre-Sales Manager chez Thales Cyber Security Products, a déplacé le regard vers un autre foyer de dépendance : la donnée. Là encore, le rappel est brutal parce qu’il est vrai. « Je ne peux pas protéger ce que je ne connais pas », dit-il. Le constat, chez Thales, tient dans un chiffre : seuls « 34 % des répondants » du Data Threat Report 2026 estiment avoir une connaissance complète des données stockées dans leur entreprise.

Pour des organisations qui se disent data-driven à longueur de présentations, l’aveu a de quoi faire tousser. Nicolas Anéas parle même d’une forme de « dette de données » : des environnements hybrides, éclatés, distribués, des données historiques partout, et une visibilité souvent parcellaire. Le problème n’est pas seulement documentaire. Il devient immédiatement un problème de risque. Car une fois les données mal cartographiées, mal classifiées, mal gouvernées, l’entreprise ne sait plus vraiment ce qu’elle expose, à qui, ni pourquoi.

Avec l’IA, la donnée devient encore plus appétissante

Cette fragilité change de nature avec l’arrivée de l’IA générative et des agents. « L’IA se nourrit de données », rappelle Nicolas Anéas. Et plus elle en consomme, plus l’enjeu de maîtrise devient central. Des agents qui vont « butiner » dans différentes sources, des droits délégués, des API, des configurations parfois trop ouvertes : le risque n’est plus seulement la fuite, mais aussi la mauvaise circulation, le mauvais usage, la mauvaise délégation.

Dans ce contexte, le chiffrement reste, selon lui, « la dernière sécurité qu’on va avoir sur la donnée elle-même ». Il n’en fait pas une baguette magique. La protection passe aussi par les identités, les clés, les HSM, les contrôles d’accès et la gouvernance des environnements. Mais le rappel a le mérite d’être net : la dépendance, ici, n’est pas simplement liée à un fournisseur. Elle est aussi liée à l’incapacité chronique de certaines organisations à voir vraiment leur propre patrimoine informationnel.

Le cloud de confiance ne vaut que s’il laisse une porte de sortie

Avec David Chassan, directeur de la stratégie d’Outscale, la discussion est revenue sur un terrain particulièrement sensible pour les DSI : celui du cloud de confiance, de l’industrialisation et, désormais, de l’IA. Son message tient en une idée : la dépendance ne se réduit pas seulement avec des labels, mais avec de la maîtrise technologique. « Nous avons toujours amené au marché depuis l’origine d’Outscale d’avoir cette maîtrise technologique nous-mêmes, d’avoir notre propre roadmap et de pouvoir l’assumer », rappelle-t-il.

Le point n’est pas anodin. Dans le débat actuel, beaucoup parlent souveraineté en regardant les certifications. Outscale rappelle qu’il y a aussi la feuille de route logicielle, l’actif technologique, la capacité d’investissement, l’exploitation et la montée en charge. L’illustration la plus parlante vient sans doute des GPU. David Chassan met en avant la disponibilité de H200 dans un environnement SecNumCloud, en expliquant que cela ne se gère pas « à l’opportunité », mais dans une logique de « capacity planning » et de partenariat industriel.

L’IA ajoute une dépendance budgétaire au casse-tête technique

Son autre apport est d’avoir mis des mots sur ce que beaucoup constatent déjà dans leurs projets IA : la dépendance change de nature. Elle ne concerne plus seulement l’accès à une infrastructure ou à un fournisseur, mais aussi la soutenabilité économique de l’usage. « Il y a une approche FinOps quand même à opérer », glisse-t-il. Infrastructure, GPU, tokens, modèles, consommation : le coût de l’IA ne se laisse plus piloter avec les vieilles grilles de lecture.

Mais le point le plus intéressant reste sans doute celui de l’interopérabilité. Un cloud de confiance qui vous retient plus qu’il ne vous sert reconstruit une autre captivité. David Chassan le formule avec une question qui devrait figurer dans toute stratégie cloud : « Dans cette notion de dépendance, si je fais le choix d’un cloud, quelle est ma réelle dépendance avec lui ? De quelle manière je suis en capacité de choisir à tout moment et de pouvoir en sortir ? » Voilà qui remet le débat au bon endroit : un standard ouvert vaut souvent mieux qu’une promesse rassurante.

L’Europe n’a pas un problème d’idées. Elle a un problème de commande

Olivier Morel, administrateur d’Hexatrust, a refermé cette première séquence sur ce qui en constitue peut-être le nœud le plus français : la faiblesse de passage à l’échelle. Son diagnostic est net. L’écosystème européen ne manque ni d’acteurs ni de savoir-faire. Il manque de traction commerciale, de visibilité, de financement et de commande. « Ce qu’on essaie de consolider, c’est d’avoir une bonne représentation de la filière franco-européenne pour construire ces champions-là », explique-t-il. Mais pour que ces champions existent, encore faut-il qu’ils vendent. « Pour ça, c’est la commande », tranche-t-il.

Le message vaut pour le public comme pour le privé. Car le cercle vicieux est désormais connu. Les alternatives existent, mais elles restent moins visibles. Comme elles sont moins visibles, elles sont moins achetées. Comme elles sont moins achetées, elles grandissent moins vite. Comme elles grandissent moins vite, elles rassurent moins. Et comme elles rassurent moins, les grands comptes reviennent aux mêmes noms. Le marché tourne en rond, avec un fort accent américain.

La plateformisation rassure. Jusqu’au jour où elle tombe

Olivier Morel a aussi eu le mérite d’appuyer là où cela gêne : la plateformisation, si séduisante pour les RSSI, peut devenir l’exact contraire d’une stratégie de maîtrise. À force de vouloir tout piloter dans une seule console, on oublie parfois qu’on place « tous ses œufs dans le même panier ». L’image vaut mieux qu’un long discours. Une plateforme unique simplifie, certes. Mais elle concentre aussi le risque.

D’où son plaidoyer, non pas pour un retour fétichiste au best of breed, mais pour une articulation plus intelligente entre filière, visibilité, interconnexion et sélectivité dans les choix. Et lorsqu’est évoquée l’idée d’un European Buy Act, Olivier Morel ne se dérobe pas : oui, des mécanismes plus volontaristes seront nécessaires si l’Europe veut autre chose qu’un rôle de pépinière pour technologies promises à une acquisition étrangère.

La leçon pour les DSI : la dépendance se pilote, elle ne se commente plus

Au terme de cette première émission, une idée s’impose : la dépendance n’est plus un thème de colloque. Elle devient un sujet de gouvernance, d’architecture et de budget. Pour les DSI, cela appelle au moins quatre réflexes.

Le premier consiste à cartographier vraiment : les fournisseurs, les couches basses, les briques critiques, les flux, les données, les points de sortie. Le deuxième est de mesurer autrement : non seulement la sécurité, mais aussi la réversibilité, la soutenabilité économique, la dépendance juridique ou géopolitique. Le troisième est d’arbitrer lucidement : toutes les dépendances ne sont pas mauvaises, mais certaines deviennent clairement asymétriques et donc dangereuses. Le quatrième, enfin, est de préparer la sortie avant la crise : standards ouverts, interopérabilité, clauses de réversibilité, architecture moins captive, achats plus sélectifs.

La leçon de Lille tient peut-être en une phrase : l’indépendance absolue est une fiction, mais la dépendance aveugle n’est plus une option.

---

À LIRE AUSSI :

Secu

Prestataires, comptes légitimes, cloud : la vraie carte des fuites de 2025

Thierry Derouet

31 Mar