Gouvernance

Indice de résilience numérique (IRN) : le thermomètre pour gouverner ses dépendances

Par Thierry Derouet, publié le 20 janvier 2026


Le 26 janvier 2026, à Bercy, l’Indice de résilience numérique (IRN) sera officiellement lancé. Conçu comme un outil de pilotage « Comex-compatible », il ambitionne de rendre mesurables — et donc arbitrables — les dépendances technologiques sur toute la stack, système critique par système critique. Une méthode pour sortir du brouillard, et enfin décider en connaissance de cause.

IIl y a des sujets que les entreprises préfèrent regarder de biais. La dépendance numérique en fait partie : elle est partout, mais rarement dans un tableau de bord. On la devine dans un contrat, dans un renouvellement de licence, dans une migration qu’on repousse, dans une compétence qu’on n’a plus, dans une clause extraterritoriale qu’on lit trop tard. On la commente, on la subit, on l’explique au Comex avec des mots qui sonnent parfois comme des excuses. Et puis, un matin, on se retrouve à Bercy, non pas pour une promesse de plus, mais pour un instrument qui prétend ramener ce brouillard à une forme mesurable : l’Indice de résilience numérique (IRN).

Le 26 janvier prochain, l’IRN sera officiellement lancé à l’occasion des premières Rencontres de la souveraineté numérique. Olivier Sichel, directeur général du groupe Caisse des Dépôts et président d’honneur d’aDRI, introduira l’outil. Les fondateurs — David Djaïz, Yann Lechelle et Arno Pons — en dérouleront la philosophie. En attendant, l’avant-première de Bercy a permis d’entendre ce que l’IRN veut être : un langage commun, une méthode, et un déclencheur d’arbitrages.

Contexte : pourquoi un indice maintenant ? Parce que la dépendance s’est empilée. Et parce qu’elle coûte — en marge de manœuvre, en vitesse, en capacité de négociation. Le Cigref a déjà documenté l’ampleur du phénomène, jusque dans ses chiffrages macroéconomiques : la dépendance européenne aux clouds américains. À l’échelle micro, les DSI le vivent au quotidien : hausses tarifaires, risques juridiques, dette technique, rigidités d’architecture, et, de plus en plus, l’IA qui accélère tout… y compris les dépendances.

Un indice né d’un constat simple : on ne pilote pas ce qu’on ne mesure pas

L’IRN n’est pas une initiative surgie d’un texte réglementaire. « C’est une initiative collective (…) à la base d’une discussion entre Yann Lechelle et David Djaïz, et je les ai rejoints très rapidement », résume Arno Pons, délégué général de la Digital New Deal Foundation. L’initiative se structure ensuite avec des soutiens et des « design partners », dont Docaposte, venu témoigner très tôt.

Tout a été comme une évidence : un lancement public initial le 4 juillet 2025 (Rencontres économiques d’Aix), puis une montée en puissance vers l’officialisation du 26 janvier 2026 à Bercy. Entre les deux : ateliers, groupes de travail, gouvernance, comité méthodologique, consolidation des critères. Le chemin compte, parce que la crédibilité d’un indice tient autant à ce qu’il mesure qu’à la façon dont il a été construit.

Une méthodologique pour éviter l’inventaire impossible

L’IRN part d’une idée volontairement opérationnelle : ne pas prétendre tout cartographier avant d’agir. David Djaïz explique la logique : « On va partir du système critique (…) chaque métier vital correspond à un système digital critique, un ensemble d’actifs numériques sur toute la stack. » Et il pose une limite nette à toutes les démarches qui ne regarderaient que la surface : « Si vous ne regardez que la couche supérieure, la couche applicative, vous êtes complètement à côté de la plaque. »

Cette entrée « système critique » a un mérite : elle oblige à regarder la dépendance là où elle se loge vraiment — contrats, fournisseurs, migrabilité, données, compétences, chaîne de sous-traitance, exposition extraterritoriale — et à la relier aux décisions du Comex. L’IRN cherche moins à produire un grand récit de souveraineté qu’à rendre visibles des fragilités, puis à organiser une trajectoire.

On voit bien, au passage, comment ces débats se télescopent avec ceux du cloud dit « souverain » : exigences juridiques, qualification, réalité des chaînes de contrôle. Sur ce point, inutile de revenir sur les controverses et les jalons SecNumCloud, par exemple avec la qualification SecNumCloud de S3NS et, plus largement, le débat « sémantique vs technologie » sur le cloud souverain.

Huit piliers, une lecture « board-ready »

Sur scène, les intervenants parlent de huit dimensions, mais ils s’appliquent à les traduire en blocs compréhensibles par un comité exécutif. David Djaïz décrit trois familles :

  • un bloc business (risque géopolitique, relation contractuelle aux grands fournisseurs, hausses tarifaires et effets sur le business) ;
  • un bloc sécurité au sens large : pas seulement cyber, mais continuité opérationnelle et capacité à fonctionner « envers et contre tout », y compris en mode dégradé ;
  • un bloc technologique, qui doit éviter un piège : confondre maîtrise et renoncement à la performance.

La phrase qui revient comme un principe de méthode est celle-ci : « Le meilleur moyen de conjuguer autonomie stratégique et performance, c’est de savoir ce qu’on achète et de savoir ce qu’on fait. Donc pas de black box. » Djaïz précise : « Les modèles d’IA, on doit pouvoir les comprendre. Ils doivent être explicables. La data, on doit savoir où elle est traitée. »

Dit autrement : l’IRN veut sortir l’entreprise d’une dépendance « à l’aveugle », en particulier au moment où l’IA, les clouds et les plateformes accélèrent les choix structurants… et les dettes cachées. Le cadre réglementaire, lui, pousse déjà vers une résilience « prouvable » : NIS2 et DORA changent la donne, pendant que l’IA Act étire la logique de conformité jusque dans les systèmes d’IA (lire notre analyse).

Résilience ≠ souveraineté : Yann Lechelle recadre, et c’est essentiel

Yann Lechelle apporte la clarification la plus utile pour un DSI : arrêter de faire porter à l’entreprise une mission régalienne. « On va bien distinguer la résilience de la souveraineté. La souveraineté est un terme qui appartient au domaine régalien. » L’entreprise, elle, « va s’intéresser à sa résilience », parce qu’« une entreprise seule ne peut pas » créer les conditions de la souveraineté nationale ou européenne.

Ce glissement n’est pas cosmétique : il rend l’objet utilisable. Yann Lechelle repositionne l’IRN comme un outil de gouvernance du risque : « La première chose qu’elle doit faire, c’est s’intéresser à ses dépendances et l’apprécier au niveau des risques. » Et il ramène l’arbitrage à son vrai duo : « Le risque, c’est un coût qui s’apprécie. C’est le directeur financier et le directeur général qui vont ensemble décider si oui ou non ils veulent améliorer leur indice. »

Il insiste aussi sur le prisme juridique : si l’entreprise dépend trop d’acteurs extraterritoriaux, « si les règles du jeu juridiques changent de jour au lendemain, l’échiquier se renverse ». À ce titre, l’actualité fournit régulièrement des cas d’école, y compris côté État, quand le vocabulaire de souveraineté précède parfois la réalité d’hébergement : Doctrine, « souveraine »… mais opérée sur AWS.

Docaposte : « ça remonte au board », et ça force enfin l’alignement interne

Pour les DSI, un indice n’a d’intérêt que s’il déclenche quelque chose. Docaposte raconte un test en tant que « design partner », sur des secteurs sensibles (santé, secteur public). Benoît Parizet en tire une conclusion simple : « C’est réellement opérationnel, applicable, et après ça remonte au niveau du board avec des choses qui sont compréhensibles. »

L’autre effet, souvent plus décisif que le score lui-même, est organisationnel : mettre autour de la table des fonctions qui se parlent trop tard. Benoît Parizet insiste sur la nécessité d’embarquer, au-delà de la tech, le juridique, le risque et la finance. Le résultat attendu n’est pas un « joli chiffre », mais une vision collective qui facilite l’arbitrage. Et surtout : ne pas en rester au thermomètre. « Ce n’est pas simplement d’avoir un thermomètre (…) c’est de pouvoir passer à l’action, engager une trajectoire », explique Docaposte, qui se positionne déjà sur l’accompagnement.

Un outil « ouvert », mais pas « un machin de plus » : appropriation libre, revue 360°

L’une des promesses de l’IRN est d’éviter le syndrome bien connu des référentiels qui s’ajoutent aux référentiels. Sur ce point, Yann Lechelle est catégorique : « Il n’y a pas d’obligation d’achat, il n’y a pas d’obligation d’implémentation. » Le dispositif est conçu comme une méthodologie ouverte, portée par une association gardienne de la méthode. « L’entreprise s’en saisit, elle le met en œuvre, et une fois qu’elle l’a mis en œuvre, elle peut l’intégrer dans son comité trimestriel ou annuel pour une revue à 360° (…) et s’appuyer sur tel ou tel pilier, tel ou tel métier, tel ou tel système critique. C’est son choix. »

L’IRN vise donc une adoption « par la gouvernance » : l’entreprise choisit le périmètre, la profondeur, le rythme, et surtout ce qu’elle en fait dans le pilotage.

La phrase qui coupe court au romantisme

En une phrase, Yann Lechelle résume l’état de départ — et donc l’ambition : « Si on est très sévère, la France et l’Europe n’ont pas de solidité numérique aujourd’hui. Donc c’est facile, on part de zéro. »

Ce n’est pas une posture : c’est une ligne de départ. L’IRN veut fournir un cadre pour regarder la dépendance sans se raconter d’histoires, puis décider — système critique par système critique — ce qui doit être sécurisé, diversifié, migrable, maîtrisé. L’objectif n’est pas de faire disparaître la dépendance (elle n’existe à 100 % pour personne), mais de la rendre visible, assumée, arbitrée. En clair : gouvernable.

EN VIDÉO : 8 minutes pour résumer l’Indice de Résilience Numérique

Les 8 piliers de la résilience numérique

Chaque critère reçoit un score R (Résilient) ou NR (Non Résilient)

1Résilience Stratégique (RES-1)

  • Vision tech & roadmap
  • Stratégie d’indépendance
  • Gouvernance IT

2Résilience Réglementaire (RES-2)

  • Conformité RGPD, AI Act, DORA, NIS2…
  • Souveraineté juridique
  • Audit & certification

3Résilience Data & IA (RES-3)

  • Contrôle des données
  • Infrastructure IA
  • Éthique & transparence

4 – Résilience Opérationnelle (RES-4)

  • Continuité d’activité
  • Gestion des incidents
  • Plans de reprise

5Résilience Supply-Chain (RES-5)

  • Fournisseurs critiques
  • Diversification
  • Contrats & SLA

6 – Résilience Technologique (RES-6)

  • Infrastructure & Cloud
  • Applications & SaaS
  • Open-source

7 –  Résilience Sécurité (RES-7)

  • Cybersécurité
  • Protection des données
  • Gestion des risques

8 – Résilience Environnementale (RES-8)

  • Empreinte carbone
  • Green IT
  • Durabilité numérique

6 questions posées à Yann Lechelle : « l’entreprise parle résilience, l’État parle souveraineté »

Q. Résilience numérique : pourquoi distinguer résilience et souveraineté ?
R. « On va bien distinguer la résilience de la souveraineté. La souveraineté est un terme qui appartient au domaine régalien (…) Une entreprise, elle, va s’intéresser à sa résilience. »

Q. Pour une entreprise, l’entrée, c’est donc la dépendance ?
R. « La première chose qu’elle doit faire, c’est s’intéresser à ses dépendances et l’apprécier au niveau des risques. (…) Arrêter de faire la confusion des deux. »

Q. Qu’est-ce que l’IRN apporte au Comex ?
R. « Mesurer la maîtrise, la dépendance, la dépendance aux fournisseurs — qu’ils soient trop peu nombreux par exemple. »

Q. Pourquoi le juridique devient central ?
R. « Si les règles du jeu juridiques changent de jour au lendemain, l’échiquier se renverse. »

Q. Qui arbitre l’amélioration de l’indice ?
R. « Le risque, c’est un coût qui s’apprécie. C’est le directeur financier et le directeur général qui vont ensemble décider. »

Q. L’IRN, au fond, sert à quoi ?
R. « Faire qu’on ne se voile pas la face (…) on doit savoir le mesurer et on doit pouvoir agir. »

À LIRE AUSSI :

Dans l'actualité

Verified by MonsterInsights