L’indicateur de résilience numérique (IRN), pour un choc salutaire dans la mesure des dépendances numériques des organisations
![Image [Commission d’enquête sur la commande publique] La souveraineté numérique en France, un "avion sans pilote"](https://incyber.org//wp-content/uploads/2025/06/incyber-news-computers-cybersecurite-cybersecurity-885x690.jpg)
Selon une étude menée par le cabinet Asterès commandée par le Cigref, le coût de la dépendance numérique de l’Europe se chiffrerait à 265 milliards d’euros. Ce chiffre a été abondamment commenté, tant sur la méthodologie de l’étude que sur le fait qu’il est à mettre en rapport avec les externalités positives que génèrent les solutions et services achetés par les acteurs européens. Il a au moins le mérite de constituer un électrochoc sur notre dépendance technologique bien réelle, principalement à l’égard des Etats-Unis. Face à ce constat, et au contexte d’intensification des tensions géopolitiques couplé au renforcement réglementaire européen dans le domaine du numérique, un collectif d’experts et d’entreprises a présenté l’Indice de Résilience Numérique à l’occasion des Rencontres Économiques d’Aix-en-Provence, une initiative soutenue par Clara Chappaz, ministre déléguée de l’Intelligence Artificielle et du Numérique.
L’IRN a pour objectif de mesurer les dépendances et vulnérabilités numériques. L’indice permettra de mesurer les dépendances numériques « à 360° » : logiciels, données, infrastructures, actifs technologiques, compétences internes, gouvernance et résilience aux chocs. C’est un véritable bilan de santé des systèmes d’information qui repose sur des critères techniques, humains,organisationnels.
Pourquoi mesurer la résilience numérique aujourd’hui ?
Si la transformation numérique a été perçue par les entreprises comme une opportunité, le fait que celle-ci soit source de dépendances à l’égard d’entreprises étrangères a longtemps été un sujet laissé de côté. Mais cela est en train de changer : selon le rapport Géopolitique et stratégie numérique : défis et leviers d’actions pour les directions du numérique publié par le Cigref en février 2025, 62 % des DSI interrogés considèrent que la souveraineté numérique est un sujet stratégique pour leur organisation, une part en nette augmentation si l’on compare avec les résultats des années précédentes.
La dépendance aux entreprises étrangères dans le domaine technologique peut générer de nombreuses difficultés pour les organisations européennes : “tech-flation”, c’est à dire augmentation régulière des coûts de location de nos infrastructures, cyberattaques ciblées, ruptures dans les chaînes d’approvisionnement numériques, obsolescence rapide des technologies, arrêt de fourniture des services en cas de sanctions unilatérales, effet des lois de surveillance à portée extraterritoriale (comme le FISA ou le Cloud Act américain). Cette situation met les organisations dans une condition de fragilité structurelle croissante. Il est donc nécessaire de développer ce que l’on appelle la “résilience numérique”.
La résilience numérique est une composante de la cybersécurité. Celle-ci est définie par l’ANSSI comme étant un « état » qui résulte d’actions menées notamment dans le cadre de la cyberprotection et de la cyberdéfense. Pour les organisations, il convient donc de pouvoir bénéficier d’un système d’information robuste pour être capable d’assurer la continuité des activités en cas de crise. Pour atteindre cet objectif, être conscient de son exposition numérique et de l’état de ses dépendances est souhaitable. L’Indice de Résilience Numérique (IRN) pourrait répondre à ce besoin, en étant un outil de diagnostic et d’aide à la décision pour les organisations qui souhaitent l’utiliser.
L’Indice de Résilience Numérique (IRN) : de quoi s’agit-il ?
Le communiqué de presse décrit l’Indice de Résilience Numérique (IRN) comme “un outil opérationnel et stratégique, calibré par et pour les dirigeants, les comités des risques et les acteurs économiques, et pensé comme un référentiel de place, librement utilisable par l’ensemble des entreprises européennes dès 2026”.
L’IRN s’appuie sur quatre critères quantitatifs qui mesurent l’indépendance du système d’information de l’organisation, à trois échelles (nationale, européenne, extra-européenne) :
- la part des dépenses et achats de logiciels, licences, maintenance, et matériels alloués à des fournisseurs nationaux, européens ou extra-européens;
- la géolocalisation du stockage des données (même si ce critère n’est pas suffisant face à des lois extra-territoriales) ;
- l’appui des systèmes numériques critiques sur des technologiques ouvertes (open source, open data, standards ouverts…);
- la diversification des fournisseurs du portefeuille SI ainsi que la capacité à migrer entre fournisseurs.
Quatre critères qualitatifs évaluent, quant à eux, la culture et l’organisation de l’entreprise :
- l’appropriation managériale des risques numériques ;
- la préparation de l’entreprise à vivre un choc / crash numérique et sa capacité de résilience ;
- le suivi opérationnel des évolutions réglementaires liées au numérique ;
- le niveau d’autonomie des compétences humaines propres nécessaires au développement et au maintien en conditions opérationnelles du SI.
Certains critères sont objectifs, d’autres font davantage appel à des considérations plus subjectives. Il convient donc d’avancer prudemment, car on connaît les écueils rencontrés par le « cyberscore », institué par la loi du 3 mars 2022.
Une démarche collective pour un numérique plus souverain
L’Indice de Résilience Numérique a été conçu par David Djaïz (dirigeant du cabinet de conseil en stratégie Ascend Partners), Yann Lechelle (fondateur de :probabl, entreprise spécialisée dans le développement et le support d’outils open-source pour la science des données et l’apprentissage automatique, comme scikit-learn) et le think-tank Digital New Deal. L’IRN est encore en phase de test pour améliorer sa méthodologie, mais neuf grandes entreprises françaises font partie de l’expérimentation (RTE, Docaposte, Ouest-France, Caisse des Dépôts, CMA-CGM, MAIF, SNCF, Groupe ADP, Orange). Les entreprises qui souhaiteraient participer à l’initiative sont les bienvenues.
Cet indice s’appuie sur une logique d’amélioration continue et volontaire. Le but n’est pas de promouvoir un repli technologique ou de mettre fin à l’utilisation de toute solution étrangère, mais d’aider les organisations à mieux comprendre leurs fragilités pour agir plus efficacement. Cette initiative a aussi pour ambition de faire de la souveraineté numérique un réflexe stratégique, afin de faire monter l’ensemble du tissu économique en maturité sur le sujet des interdépendances avec des entreprises extra-européennes.
Une démarche perfectible mais prometteuse
L’Indice de Résilience Numérique est un outil prometteur, qui n’échappe toutefois pas à certaines limites. Pour l’instant, sa représentativité peut être critiquée, puisque seulement neuf entreprises ont été embarquées dans l’expérimentation, toutes de grande taille et issues de secteurs critiques. La méthodologie employée risque de demander des adaptations, afin que l’IRN puisse convenir aux TPE et PME, qui sont tout aussi concernées par les questions de souveraineté numérique, mais aussi à des organisations d’autres secteurs jugés moins critiques.
Comme l’indice repose sur un auto-diagnostic des organisations elles-mêmes, l’indice est également soumis à un risque de subjectivité. Concernant certains critères qualitatifs, certaines organisations pourraient surévaluer leur maturité, ou au contraire la sous-évaluer, ce qui pourrait “dévaloriser” l’IRN. Pour ne pas que sa fiabilité soit remise en cause, l’une des pistes d’amélioration serait de confier le diagnostic à un tiers de confiance.
Par ailleurs, l’IRN s’inscrit dans une dynamique très française, même si l’ambition décrite dans le communiqué de presse concernant ce dispositif est européenne. Au niveau européen, il existe des référentiels avec lesquels le nouvel indice pourrait s’articuler pour éviter la multiplication des indicateurs et faciliter les comparaisons internationales. A l’échelle d’un pays, on peut par exemple citer le DESI (Digital Economy and Society Index) qui mesure les progrès des Etats-membres en matière de compétitivité numérique ou le NCSI (National Cyber Security Index) qui estime en temps réel la capacité des pays à prévenir les cybermenaces et à gérer les incidents.
Le déploiement national de l’IRN est prévu pour 2026. D’ici là, l’indice restera en construction, susceptible d’évoluer en fonction des retours terrain et des choix d’orientation politique. Toutefois, l’initiative est un signal à prendre en compte sur la prise de conscience à propos de la souveraineté numérique et sur la volonté des organisations de devenir moins dépendantes des technologies extra-européennes. En favorisant une démarche proactive, l’Indice de Résilience Numérique ouvre la voie à une transformation numérique plus soutenable et à la fondation d’un écosystème de résilience collectif. L’expérimentation en cours doit avoir une portée européenne, car c’est bien à cet échelon qu’il convient de conduire une politique qui permette de renforcer l’autonomie stratégique, dans le prolongement des récents textes à finalité opérationnelle (règlements Cyber Relience Act, Cyber Solidarty Act, directive NIS2) de de politique industrielle (Digitam Market Act), qui soulignent l’impérieuse nécessité de mieux maîtriser nos dépendances technologiques dans un monde plus fragmenté.