L’indice de résilience numérique, un thermomètre des dépendances critiques

Le 26 janvier dernier, la ministre déléguée chargée de l’Intelligence artificielle et du Numérique Anne Le Hénanff accueillait à Bercy les premières Rencontres de la souveraineté numérique. Deux initiatives structurantes y ont été dévoilées : l’Observatoire de la souveraineté numérique, piloté par le Haut-Commissariat à la Stratégie et au Plan, dont les premiers résultats sont attendus au printemps, et l’Indice de Résilience Numérique. À l’origine de cet IRN, annoncé lors des Rencontres économiques d’Aix-en-Provence en juillet 2025, trois entrepreneurs : David Djaïz, Yann Lechelle et Arno Pons.
L’IRN est porté par une association à but non lucratif, la Digital Resilience Initiative (aDRI), cofondée par ces entrepreneurs et par un consortium d’entreprises privées et publiques*, qui ont participé activement, tout comme le Cigref, à la conception de l’indice. Son élaboration a nécessité plusieurs mois de travaux et a également associé experts, chercheurs et acteurs institutionnels. L’association évoluera en 2026 vers un statut d’AISBL (association internationale sans but lucratif), afin d’accompagner son déploiement européen et international.
Pensé comme un standard ouvert, modulable et itératif, l’IRN s’adresse aux organisations de toutes tailles, qu’elles soient utilisatrices du numérique ou fournisseurs de solutions. Son référentiel et sa méthodologie sont publiés sous licence Creative Commons. L’objectif est d’instaurer, au sein des entreprises, un langage commun entre les différentes parties prenantes : comex, direction générale, directions métiers, DSI, direction des risques… Langage commun qui servira également de référentiel dans les échanges entre les acteurs économiques.

Vingt critères pour mesurer la résilience
 

« Nous nous sommes intellectuellement inspirés de la réglementation européenne DORA pour construire l’IRN, confie David Djaïz. En partant des métiers vitaux de l’entreprise, on considère qu’à un métier critique ou à un processus critique correspond un système numérique critique, c’est-à-dire un ensemble d’actifs, – logiciels, plateformes, données, infrastructures, compétences, cybersécurité… -, qui soutiennent ce métier. Nous avons aussi voulu faire de cet indicateur un outil frugal et robuste à la fois, afin qu’il ne mobilise pas trop de temps aux équipes qui vont le documenter ».
Pour chaque système critique analysé, l’IRN évalue huit dimensions, regroupées en trois grands blocs :

– Les dépendances business et stratégiques : législations applicables aux fournisseurs, clauses contractuelles (augmentations tarifaires, modifications unilatérales, risque de kill switch – ndlr : pouvoir de coupure), etc.
– Les dépendances de sécurité : continuité d’activité, conformité opérationnelle, cybersécurité, etc.
– Les dépendances technologiques : explicabilité des modèles d’IA, maîtrise de la supply chain technologique, etc.

Au total, vingt critères de résilience sont pris en compte, pour un score maximal de cent points. L’association va arrêter dans les prochaines semaines le seuil de points requis pour être considéré comme résilient, ainsi que la durée de validité de la labellisation, si l’organisation en fait la demande et l’obtient.
Les entreprises peuvent d’ores et déjà calculer leur IRN de manière autonome pour un ou plusieurs de leurs systèmes critiques via la plateforme dédiée (lien sur https://thedigitalresilience.org/) mise en place. A l’issue de l’assemblée générale constitutive de l’association, prévue mi-février, des tiers agréés, personnes physiques ou morales, pourront solliciter une habilitation pour accompagner les entreprises dans leur évaluation et, le cas échéant, les labelliser. Au-delà d’un simple diagnostic, l’IRN a vocation à servir de boussole stratégique et de méthodologie de pilotage, afin d’aider les dirigeants à suivre dans le durée la résilience numérique de leur organisation.

Une démarche créatrice de valeur à long terme

David Djaïz observe une réelle effervescence autour de l’IRN dans le tissu économique français. « Énormément d’entreprises ont un intérêt direct à réaliser cette évaluation, estime-t-il. Celles qui travaillent dans des secteurs très réglementés ou très sensibles comme les services publics, la défense et la santé, là où les questions de résilience numérique, de souveraineté et d’autonomie stratégique sont prises très au sérieux par toutes les parties prenantes. En tant que sous-traitant dans l’aéronautique, par exemple, il faut montrer des gages aux donneurs d’ordre. Parce qu’eux-mêmes, grandes entreprises de la défense, peuvent avoir des contrats avec des gouvernements européens et ont besoin de sécuriser leur supply chain ».
Quant aux leviers d’amélioration de la résilience, ils sont multiples, de la diversification des fournisseurs à la réinternalisation de certaines compétences critiques en passant par le choix de l’open source. « Il existe des solutions alternatives aux grands acteurs monopolistiques, parfois moins chères et très compétitives, affirme David Djaïz. La principale différence tient au fait qu’elles ne sont pas bundlées et nécessitent un effort d’intégration supplémentaire ».
Il pointe également la structure des investissements IT dans les entreprises. « Ils sont souvent consacrés en majorité à la maintenance du legacy de systèmes existants tandis que peu de place est donnée à l’innovation. Pour autant, construire sa résilience, diversifier ses fournisseurs ne génère pas forcément des dépenses supplémentaires, soutient-t-il. C’est de la réallocation des dépenses d’investissement, qui évite demain de générer de la dette technique. La résilience n’est pas un surcoût défensif mais au contraire un investissement offensif. Il peut arriver qu’il y ait un coût d’entrée, mais sur une longue période, les organisations sont gagnantes et réalisent des économies ».


* Notamment : Caisse des Dépôts, CMA CGM, Crédit Mutuel, Docaposte, MAIF, Ouest France et RTE