Face à la dépendance numérique, le réveil européen ?

Et si demain tout s’arrêtait ? Panne majeure, attaque massive, bouleversement géopolitique ou économique, la dépendance numérique ne peut plus être traitée comme une fatalité ou un débat confiné aux directions informatiques. « On est passés d’un sujet technique à un enjeu stratégique », soulignait Éric Singer, CISO, lors de la présentation du libre blanc Maîtrisez nos dépendances numériques, rédigé par le Forum INCYBER en partenariat avec le CESIN.

Lors de la plénière « Dépendances numériques : comment bâtir un écosystème de confiance ? » du Forum INCYBER 2026, le constat était largement partagé : « en deux décennies, un sujet de performance est devenu un risque sismique et systémique », confirmait Bernard Gavgani, Senior Advisor to the Group General Management chez BNP Paribas. Ce constat n’a rien d’alarmiste quand on réalise que « cette dépendance est d’une triple nature : technologique, économique et géopolitique », comme l’expliquait David Djaïz, cofondateur de l’indice de résilience numérique. Et d’autant qu’« une seule défaillance impacte en cascade tout le monde », rappelait Emmanuel Garnier, directeur cyber d’Orano. Télécommunications, transports, services publics : tous reposent sur des infrastructures communes. Les incidents sur AWS et Azure en 2025 illustrent, pour Emmanuel Garnier, ce blast radius, l’extension de l’impact d’un incident.

Sur le plan technologique, l’Europe dépend massivement de solutions extraeuropéennes pour ses infrastructures critiques, ses clouds et désormais ses briques d’intelligence artificielle. « 80 % des données des entreprises européennes sont stockées dans des clouds américains », rappelait Véronique Torner, présidente de NUMEUM. Et ceci sans même mentionner les solutions bureautiques, réseau, cyber ou le matériel…

Cloud, SaaS : « les fournisseurs peuvent augmenter les prix à volonté »

Une dépendance d’autant plus forte qu’elle s’inscrit dans des architectures complexes, difficilement réversibles et qui se traduisent par un transfert massif de valeur : « la facture numérique de l’Europe à 286 milliards par an doit nous interpeller », déplorait Bernard Gavgani. Autant d’argent qui finance l’innovation et l’emploi outre-Atlantique et non sur notre continent.

Un phénomène aggravé par l’évolution des modèles économiques du numérique. Avec le passage du logiciel propriétaire au cloud, puis au SaaS, « on est passé d’un modèle propriétaire à un modèle locatif […] où les fournisseurs peuvent augmenter les prix à volonté », soulignait David Djaïz, cofondateur de l’Indice de Résilience Numérique. Si le gain en agilité de ce modèle est indéniable, il se paie au prix d’un transfert de contrôle, de la mise en place d’un verrou structurel : le lock-in. Un point de vigilance essentiel, selon Martin Kuppinger, fondateur et analyste principal chez KuppingerCole : « les outils peuvent créer un verrouillage ; si vous optez pour un outil, vous devez réfléchir à la manière de vous en débarrasser. »

L’émergence de l’IA générative accentue ce phénomène. Les modèles économiques à l’usage (pay-as-you-go) introduisent une incertitude nouvelle. Comme le précisait David Djaïz, « on ne sait pas quel sera le prix du token dans trois ou cinq ans ». Cette volatilité renforce la dépendance économique.

« Nous serons totalement vassalisés »

Sur le plan géopolitique, le constat que dressait Michel Paulin, auteur de Black Out : et si les États-Unis coupaient nos services numériques ? (Éd. Le cherche-Midi) avait le mérite de la clarté : « Si nous sommes 100 % dépendants d’infrastructures, de logiciels, de cloud, d’IA qui ne sont pas dans nos mains, nous serons totalement vassalisés. » « Le cyberespace est devenu un espace de compétition, de contestation et parfois même d’affrontement désinhibé, en miroir des tensions géopolitiques et des rivalités internationales », détaillait Anne Le Hénanff, ministre déléguée chargée de l’Intelligence artificielle et du Numérique.

La dépendance devient un levier de pression et le témoignage de Joséphine Ballon illustrait cette évolution. Directrice juridique de l’ONG Hate Aid, elle a subi des sanctions ad hominem de la part de Washington, aux côtés de Thierry Breton et d’autres personnalités qui défendaient le DSA. « Ça nous dépasse […] c’est une attaque contre la réglementation européenne », témoignait-elle.

Allons plus encore plus loin. La dépendance numérique n’est pas que technologique, économique et géopolitique. Elle est cognitive, soulignait Virginie Tournay, directrice de recherche au CNRS. Comme le pétrole est le sang de l’économie industrielle, la data est celui de l’économie de la connaissance. « Nos dépendances vis-à-vis de l’énergie sont visibles, matérielles et négociables […] les dépendances numériques, sont invisibles, structurelles et cognitives. […] Nos dépendances énergétiques contraignent l’action, nos dépendances numériques contraignent nos perceptions. Ça passe par plein d’effets concrets : la dérégulation du marché de l’information, la polarisation des débats, les pertes de repères communs. »

« Le problème est l’accompagnement au passage à l’échelle »

Comment dès lors l’Europe a-t-elle pu se laisser enfermer dans une telle dépendance malgré un écosystème dynamique ? Pour des raisons historiques tout d’abord, rappelait Joséphine Staron, docteure en philosophie. « Elle n’a pas été faite […] pour créer des champions dans l’énergie ou dans d’autres secteurs. La communauté européenne a été pensée pour être un facteur de paix, d’uniformisation progressive des marchés. »

Et de fait, les manques structurels sont flagrants. Sous financement du capital-risque, fragmentation du marché, difficulté à retenir les champions, l’Europe peine à transformer ses innovations en leaders industriels. « Le marché est sous-financé », déplorait Joanna Świątkowska, secrétaire générale de l’ESCO. Ce n’est pas qu’une impression : selon la Banque européenne d’investissement, le déficit d’investissement en cybersécurité en Europe par rapport aux États-Unis atteignait 1,75 milliard d’euros en 2020. « Le problème n’est pas le talent, le problème est vraiment l’accompagnement au passage à l’échelle », appuyait Farida Poulain, directrice générale du Campus Cyber.

De plus, le marché est loin d’être unifié : « quand vous êtes Français et que vous allez en Allemagne, vous êtes considéré comme un concurrent », rappelait Michel Van den Berghe, CEO de Seclab. Pour cet entrepreneur en cyber, les règles européennes et nationales n’aident pas non plus à l’émergence de champions européens. « On n’est pas aidés, au contraire, on est freinés », déplorait-il. Résultat, il s’est résolu à délocaliser sa production au Canada, plus souple. Enfin, Hans de Vries, chef de la cybersécurité à l’ENISA, soulignait qu’en Europe, « il y a indéniablement un problème culturel lié à la prise de risques ».

« Tant qu’on ne mesure pas, on ne pilote pas »

Malgré tout, Martin Kuppinger bondissait quand il entendait que l’Europe serait démunie. « Il n’existe pas de véritable alternative européenne [aux acteurs américains]. Vraiment ? J’en doute. » Et de fait, la remise des prix de la Start-up au Forum INCYBER plaidait dans ce sens : « ces prix récompensent […] des start-up qui contribuent […] à faire émerger et à renforcer notre protection », insistait François Delzant lors de la cérémonie.

Dans ce contexte, pas de solution miracle, mais une doctrine : puisque la dépendance n’est pas supprimable, elle doit être gouvernée, donc choisie. Dans un monde numérique globalisé, l’interdépendance est inévitable, elle doit donc devenir un objet de mesure, de gouvernance et d’arbitrage opérationnel. Mais voilà, « tant qu’on ne mesure pas, on ne pilote pas », soulignait Emmanuel Garnier.

Et c’est là qu’intervient l’indice de résilience numérique (IRN), qui se propose de transformer une notion abstraite – la dépendance – en indicateur mesurable. Le principe est simple : partir des processus métiers critiques, cartographier les actifs numériques associés, analyser les risques sur l’ensemble de la chaîne, du hardware aux applications, en passant par les données et les fournisseurs. L’IRN identifie huit grandes catégories de risques : géopolitique, économique, juridique, opérationnel, environnemental, technologique, etc. Une approche full stack, qui permet de sortir des silos. « Cela va permettre de faire monter, d’un point de vue stratégique, ces questions », se félicitait Arnaud Pons, directeur général du think-do tank Digital New Deal, car « l’un des objectifs aussi, c’est d’impliquer les boards », ajoutait-il.

« L’indépendance totale n’est ni possible, ni même nécessaire »

Arnaud Pons visait juste, si l’on en croit David Djaïz : « un dirigeant ne regarde pas le problème en silo […] il a besoin d’une vision globale ». Fort de ces outils, le dirigeant peut s’emparer de la dépendance numérique pour en faire un sujet de gouvernance, au même titre que la finance ou le risque.

Mais comment réaliser ces arbitrages ? « L’indépendance totale n’est ni possible, ni même nécessaire », avertissait d’emblée Michiel Van der Veen, directeur commercial cybersécurité chez TNO. « On ne peut pas être leader sur l’ensemble de la chaîne de valeur. Donc, il faut choisir des chaînes de valeur où on va être leader, ce qui nous donnera un rapport de force », insistait Véronique Torner. Le consensus est clair : « la souveraineté n’est pas l’autarcie, c’est la capacité de choisir ses dépendances », confirmait Farida Poulain et « de garder des marges de manœuvre », complétait Emmanuel Garnier. Fidèle au projet européen, Joséphine Staron appelait même à « transformer progressivement ces interdépendances en solidarités ». David Krieff, DSI du Groupe ADP, invitait pour sa part à distinguer les dépendances « neutres » ou « positives » des dépendances toxiques, « celles qui se caractérisent par des relations qu’on ne peut ni gérer ni quitter ».

Mais avant d’en arriver là, il faut sortir autant que possible de la soumission aux acteurs hégémoniques. Concrètement, cela passe par une préparation minutieuse des transitions. Le passage de Windows à Linux dans la gendarmerie nationale fut « un non-événement en interne, parce qu’il était bien organisé », se félicitait le général de brigade (2 s) Xavier Guimard. « Il faut organiser les choses pour que, quand l’utilisateur fait un effort, il ait une contrepartie », complétait-il.

« Je défends une préférence européenne »

À la clef pour les gendarmes, des postes bureautiques qui s’intègrent mieux dans les worflows maison et qui ont fait « gagner trois millions d’heures de travail ». L’institution, de son côté, est sortie d’une dépendance absolue, avec « 30 à 40 millions d’euros d’économies par an ». Un gain considérable obtenu par une approche holistique : « Ce qui est important, comme le rappelait tout à l’heure Michel Paulin, c’est d’avoir cette vision multistack parce qu’une application ne tourne pas toute seule, elle tourne sur des operating system, elle tourne sur un certain nombre de hardwares, etc. »

Derrière ce succès, combien d’échecs et surtout combien d’obstacles se dressent encore devant ceux qui souhaitent passer d’une dépendance subie à une interdépendance choisie ? L’Europe se trouve face à une équation délicate : renforcer sa souveraineté sans renoncer à l’ouverture, reprendre le contrôle sans perdre en efficacité.

Première étape, répondre à ce leitmotiv qui rythmait la plénière, résumé par Anne Le Hénanff : « je défends une préférence européenne dans le domaine du numérique ». « On a quelque chose à réinventer ici, qu’on a inventé dans le cas agricole dans les années 60 », appuyait Joséphine Staron. Il faut mettre « sur les rails ce “Small Business Act” que nous attendons tous, que les Américains ont construit au travers de leur DARPA et qui donne une force particulière pour l’accès à la commande publique, l’accès au marché, la création d’une masse critique », détaillait Akim Oural, membre du collège de l’Arcep.

C’est à ce prix que l’Europe saura faire de la dépendance numérique un levier de puissance. Faute d’actions fortes de l’Union, elle aura identifié un champ stratégique central, mais elle continuera à en subir les règles dictées par d’autres.