• Contact
Gouvernance

Diagnostic de souveraineté numérique : méthode, scoring et ce que ça révèle

  • 10 février 2026
  • 10 min. à lire
21 questions, 6 axes, 5 minutes. Notre diagnostic évalue votre exposition aux risques de dépendance technologique.

Sommaire

  1. Dépendants, mais de quoi exactement ?
  2. Pourquoi un diagnostic en ligne, et pas un audit
  3. Les six axes : ce qu’on mesure, et pourquoi
  4. Le scoring : fonctionnement et logique
  5. Le radar : rendre visible ce qui ne l’est pas
  6. Ce que les premiers résultats révèlent
  7. Les recommandations par profil
  8. Après le diagnostic
  9. Les choix de conception
  10. Les limites
  11. TL;DR
  12. Notes

La plupart des entreprises savent qu'elles dépendent de leurs fournisseurs technologiques. Très peu savent mesurer cette dépendance. Nous avons construit un outil pour poser les bonnes questions – et obtenir des réponses exploitables.

Demain matin, Gmail ne répond plus. Outlook non plus. Votre agenda est vide, vos fichiers partagés inaccessibles, votre CRM muet, votre outil de visio hors ligne. À l’échelle d’une entreprise, c’est l’activité qui s’arrête net – et ce n’est pas de la science-fiction. C’est ce qui arrive quand un fournisseur décide de couper l’accès, de tripler ses prix, ou de modifier ses conditions générales sans préavis.

La plupart des organisations n’ont aucune idée de leur niveau d’exposition réel à ce type de scénario. Elles savent qu’elles sont dépendantes. Elles ne savent pas à quel point, ni sur quels axes, ni par où commencer pour réduire le risque.

On a construit un diagnostic de souveraineté numérique pour répondre à ces questions. Vingt-et-une questions réparties sur six axes, un score sur 100%, un profil de risque et une cartographie radar. Le tout est gratuit, aligné sur la méthodologie IRN, et conçu pour produire des réponses honnêtes plutôt que rassurantes.

Dépendants, mais de quoi exactement ?

Le constat revient à chaque premier rendez-vous, ou presque. Les entreprises savent qu’elles sont trop dépendantes de Microsoft, de Google, de Salesforce ou d’Oracle. Elles le sentent, elles le disent. Mais quand on demande sur quels axes exactement – données, infra, applicatif, compétences – la réponse est invariablement la même : “un peu partout, en fait.”

Ce flou résume le problème. La conscience du risque existe. Ce qui manque, c’est la cartographie – savoir se situent les dépendances critiques, et dans quel ordre les traiter.

Quand on creuse, on découvre des angles morts que personne n’avait eu le temps d’examiner. “On est sur Azure, c’est géré” – mais sans plan de réversibilité documenté. “Nos propres applications” – qui tournent sur des API tierces sans alternative identifiée. “Notre prestataire gère l’infra” – sans documentation ni montée en compétence interne prévue. “On est conforme RGPD” – sans cartographie réelle de là où transitent les données.

Ce n’est pas un manque de compétence. C’est un manque d’outillage. Ces sujets sont complexes, transverses, et personne n’a le temps de les traiter quand l’urgence quotidienne mobilise toutes les ressources.

C’est de ce constat qu’est né le diagnostic – pas pour pointer du doigt, mais pour donner un langage commun et un point de départ.

Pourquoi un diagnostic en ligne, et pas un audit

On ne lance pas un audit quand on ne sait même pas si on a un problème – ni où il se situe. Un audit, c’est plusieurs semaines de travail, un budget conséquent, un périmètre à définir. C’est pertinent quand on sait ce qu’on cherche.

Le diagnostic intervient avant. Il pose une photographie rapide de la situation : où en êtes-vous sur chaque axe, quels sont vos angles morts, et est-ce que le tableau justifie d’aller plus loin. En cinq minutes, vous disposez d’un langage commun entre DSI, direction et juridique – et d’un point de départ concret pour structurer la discussion.

Tester le diagnostic

Les six axes : ce qu’on mesure, et pourquoi

Le diagnostic évalue six dimensions, chacune correspondant à un vecteur de dépendance distinct. Le choix de ces axes n’est pas arbitraire – il s’appuie sur les critères de l’IRN et sur les situations que l’on observe en mission.

1. Données

Trois questions. Où sont hébergées vos données, sous quelle juridiction, et qui y accède réellement.

C’est l’axe où les entreprises pensent être à l’aise – et se trompent le plus souvent. “Hébergé en France” ne signifie pas “protégé du Cloud Act” si votre hébergeur est une filiale d’un groupe américain. Et “des droits d’accès configurés” ne vaut pas une cartographie des accès avec chiffrement côté client.

Exemple de question : Avez-vous analysé l’exposition juridique de vos fournisseurs cloud aux lois extraterritoriales ?

Les réponses vont de “Oui, fournisseurs qualifiés SecNumCloud” (3 points) à “Non, on n’a jamais fait cette analyse” (0 point).

Question sur l'accès aux données sensibles – Axe Données, question 3/21

2. Applicatif

Trois questions. Vos outils critiques sont-ils maîtrisés ? Survivriez-vous à une hausse de 40% de votre éditeur principal ? Avez-vous accès au code source de vos applications métier ?

C’est l’axe qui fait le plus mal aux entreprises ayant tout externalisé. Quand votre CRM, votre ERP et votre outil de collaboration sont trois SaaS américains, la marge de manœuvre en cas de crise se résume à deux options : payer ou arrêter.

Que se passe-t-il si votre éditeur SaaS augmente ses prix de 40% ?

3. Infrastructure

Quatre questions. Cloud souverain ou hyperscaler américain ? Plan de réversibilité ? Infrastructure as Code ? Cartographie des dépendances supply chain ?

L’infrastructure est le socle, et c’est aussi là qu’on obtient les réponses les plus révélatrices. La question sur le plan de réversibilité – avez-vous un plan documenté si vous deviez changer de fournisseur cloud ? – déclenche régulièrement des silences gênés.

La réponse la plus fréquente : “On sait qu’il faudrait, mais rien n’est formalisé.”

4. Gouvernance

Quatre questions. Qui définit la stratégie technologique ? Existe-t-il une politique fournisseurs ? Le vendor lock-in est-il un critère de décision ? Où en est la conformité réglementaire ?

C’est l’axe le plus politique du diagnostic – et souvent le plus faible. Beaucoup d’entreprises n’ont tout simplement pas de stratégie technologique formalisée. Les choix se font au cas par cas, service par service, sans vision d’ensemble ni analyse de dépendance.

Exemple de question : Qui définit la stratégie technologique dans votre entreprise ?

Réponse la plus honnête (et fréquente) : “C’est le stagiaire qui a installé Notion en 2019 et depuis on fait avec.” (0 point, mais au moins c’est dit.)

Question Gouvernance : qui définit la stratégie tech dans votre entreprise ?

5. Compétences

Trois questions. Vos équipes peuvent-elles opérer sans le prestataire ? Que se passe-t-il s’il disparaît ? Investissez-vous dans la formation et la documentation ?

La dépendance n’est pas uniquement technologique. Si un seul prestataire maîtrise votre infrastructure et que vous n’avez ni la documentation ni les compétences internes pour reprendre la main, vous êtes structurellement vulnérable – indépendamment de la qualité de la stack technique.

Axe Compétences : vos équipes internes peuvent-elles opérer sans le prestataire ?

6. Sécurité et résilience

Quatre questions. Certifications, gestion des vulnérabilités, plan de continuité d’activité, concentration des dépenses fournisseurs.

Le dernier axe mesure la capacité à encaisser un choc – pas à l’éviter, mais à y survivre. La question sur la concentration des dépenses IT est particulièrement révélatrice : si un seul fournisseur représente plus de 50% de vos dépenses critiques, votre pouvoir de négociation est nul et votre exposition au risque, maximale.

Axe Sécurité : avez-vous un PCA/PRA pour votre SI ?

Le scoring : fonctionnement et logique

Chaque question propose quatre réponses, notées de 0 à 3 points. Le score maximum théorique est de 63 points (21 questions × 3), converti en pourcentage. Chaque axe est normalisé indépendamment pour éviter qu’un axe à quatre questions n’écrase un axe à trois.

Les quatre niveaux de réponse suivent une progression délibérée :

  • 3 points – bonne pratique documentée, testée, formalisée
  • 2 points – conscience du sujet, action engagée mais partielle
  • 1 point – situation subie, pas de maîtrise réelle
  • 0 point – absence totale ou méconnaissance du sujet

Il n’y a pas d’échelle à cinq niveaux, et ce n’est pas un oubli. La réponse “moyennement” permet de ne pas trancher. Quatre niveaux forcent un positionnement clair. La frontière entre 2 et 1 est souvent la plus révélatrice : c’est la différence entre “on gère tant bien que mal” et “on n’a aucune visibilité sur ce qui se passe”.

Les quatre profils de résultat

ScoreProfilSignification
80-100%SouverainMaîtrise avancée. SI résilient, choix stratégiques documentés.
60-79%En bonne voieFondations solides, mais des angles morts subsistent.
35-59%DépendantDépendances critiques identifiées comme vulnérabilités.
0-34%VulnérableFortement exposé. Un incident fournisseur aurait un impact majeur.

Le radar : rendre visible ce qui ne l’est pas

Le résultat ne se résume pas à un chiffre. Chaque répondant obtient un radar à six axes – une cartographie visuelle de ses forces et de ses vulnérabilités.

Un score global de 55% ne dit pas grand-chose en soi. Un profil à 55% avec un axe Données à 90% et un axe Gouvernance à 15%, c’est une situation radicalement différente d’un 55% homogène. Le radar montre où concentrer l’effort, et c’est un format que les directions générales lisent immédiatement – pas besoin de trente slides pour comprendre que la forme est écrasée côté Compétences ou Infrastructure.

Radar chart et recommandation personnalisée

Le détail par axe

Sous le radar, chaque axe est présenté avec son score brut (par exemple 7/12), un indicateur de niveau (Excellent, Bon, À améliorer, Critique), une barre de progression visuelle et une description de ce que l’axe mesure. Ce niveau de granularité permet d’identifier immédiatement les priorités d’action : si votre axe Infrastructure est “Critique” à 2/12, c’est là qu’il faut commencer – pas sur l’axe Données qui est déjà à 8/9.

Détail par axe : score, indicateur de niveau et barre de progression pour chaque dimension

Ce que les premiers résultats révèlent

Sans surprise, les tendances observées rejoignent ce que les études macro confirment : la majorité des répondants se situent dans la zone “Dépendant” (35-59%).

Les axes les plus faibles

Infrastructure et Gouvernance arrivent systématiquement en queue de peloton, pour deux raisons principales.

D’une part, l’absence de plan de réversibilité. La grande majorité des répondants n’en ont pas. Ils savent qu’il faudrait en avoir un, mais rien n’est formalisé. C’est le critère qui fait le plus chuter le score Infrastructure.

D’autre part, l’absence de stratégie technologique formalisée. Les choix se font au fil de l’eau, service par service, sans analyse de dépendance en amont. Le vendor lock-in n’est pas un critère de décision parce que personne ne l’a défini comme tel.

Les axes les moins faibles

Données et Sécurité tirent généralement vers le haut – non pas parce que les pratiques sont excellentes, mais parce que le RGPD et les obligations de conformité ont forcé un minimum de structuration. Les entreprises savent où sont leurs données, même si elles ne maîtrisent pas toujours qui y accède.

Le déséquilibre récurrent

La plupart des profils “Dépendant” présentent le même schéma : une conscience partielle du risque (axes Données et Sécurité corrects) combinée à une absence de pilotage (axes Gouvernance et Infrastructure faibles). Les entreprises perçoivent le problème, mais n’ont mis en place aucun mécanisme pour le traiter. Le diagnostic rend ce déséquilibre visible – et c’est souvent ce qui déclenche la mise en mouvement.

Voir où vous en êtes →

Les recommandations par profil

Chaque profil de résultat est associé à une recommandation adaptée à la situation.

Souverain (80-100%). Vous êtes en position de force. L’enjeu n’est plus la construction mais la maintenance : formaliser votre doctrine, auditer annuellement, diffuser la culture en interne. Le risque principal à ce stade est la complaisance.

En bonne voie (60-79%). Les fondations sont là. Priorisez vos deux axes les plus faibles sur les six prochains mois. Les leviers les plus accessibles sont souvent la documentation et la réversibilité – fort impact pour un effort modéré.

Dépendant (35-59%). Commencez par cartographier vos fournisseurs critiques et construisez une feuille de route sur douze à dix-huit mois en attaquant par les données et les compétences. C’est un travail de fond, pas un sprint.

Vulnérable (0-34%). Un audit complet est nécessaire. Identifiez les risques prioritaires, établissez une trajectoire claire. L’enjeu n’est pas de tout changer d’un coup, mais de reprendre progressivement le contrôle sur les points les plus exposés.

Après le diagnostic

Un score, aussi précis soit-il, ne change rien par lui-même. Le diagnostic est conçu comme un point d’entrée, pas comme une fin en soi. La suite se joue en trois temps.

Partager le résultat en interne. Le radar est conçu pour circuler – en COMEX, en comité de direction, avec votre DSI ou votre prestataire. Un score de 42% posé sur la table ouvre une discussion. Un score de 42% dans un tiroir ne sert à personne.

Creuser les axes faibles. Le diagnostic identifie où se situent les faiblesses. L’étape suivante consiste à comprendre pourquoi. Pour chaque axe critique, les questions posées donnent déjà des pistes : absence de plan de réversibilité, concentration fournisseur excessive, compétences internes insuffisantes.

En parler et passer à l’action. Avec votre DSI, votre prestataire, votre direction – ou avec nous. L’important est que le résultat ne reste pas un score oublié dans un onglet. La souveraineté numérique est un sujet transverse qui se traite en équipe, pas en solo.

Les choix de conception

Vingt-et-une questions, pas cinquante

Le taux de complétion d’un questionnaire chute drastiquement au-delà de vingt-cinq questions et cinq minutes. Chaque question du diagnostic couvre un risque structurellement différent – pas de redondance, pas de reformulations. Le ratio signal sur bruit a été optimisé pour que l’outil soit effectivement terminé par ceux qui le commencent.

La sauvegarde automatique

Le diagnostic enregistre la progression en localStorage. Vous pouvez fermer l’onglet et reprendre plus tard exactement où vous en étiez. Un DSI qui commence le diagnostic à neuf heures du matin sera interrompu par un incident à neuf heures deux – c’est une certitude statistique.

Pas de formulaire d’inscription

Pas d’email demandé, pas de téléchargement conditionné à un formulaire. Le diagnostic est gratuit et anonyme.

La démarche est avant tout pédagogique. La dépendance technologique reste un angle mort pour beaucoup d’organisations – pas par négligence, mais parce que personne ne leur a posé les bonnes questions. Ce diagnostic est conçu pour ça : forcer une conversation qui n’a pas lieu spontanément.

L’alignement sur l’IRN

L’IRN (Indice de Résilience Numérique) est un indicateur qui structure la réflexion sur la souveraineté numérique autour de critères concrets et mesurables. Aligner le diagnostic sur ses axes et sa philosophie permet de s’appuyer sur un cadre méthodologique établi plutôt que de repartir de zéro.

Les limites

Un diagnostic en ligne de vingt-et-une questions ne remplace pas un audit terrain. Certaines choses ne se mesurent pas en cinq minutes.

La profondeur réelle des dépendances. Une question sur vos outils SaaS ne capture pas les quarante-sept custom objects Salesforce, les douze workflows Apex et les huit intégrations tierces qui font que votre CRM est devenu un OS métier dont personne ne maîtrise le périmètre complet.

La qualité de la documentation. “Documenté” peut signifier un Confluence de 2019 que plus personne ne maintient.

La culture interne. La gouvernance telle qu’elle existe sur le papier et la gouvernance telle qu’elle se pratique au quotidien ne sont pas nécessairement la même chose.

Les interdépendances cachées. Votre outil souverain repose peut-être sur une stack américaine en dessous – comme le gouvernement avec Visio, qui tourne sur LiveKit1. Le diagnostic ne descend pas à ce niveau de granularité.

Le diagnostic est un thermomètre. Si la température est élevée, il faut investiguer plus en profondeur – et c’est précisément son rôle : déclencher l’investigation, pas la remplacer.

TL;DR

  • Le diagnostic évalue votre dépendance tech sur 6 axes : Données, Applicatif, Infrastructure, Gouvernance, Compétences, Sécurité & Résilience
  • 21 questions, 5 minutes, score en pourcentage + radar chart + profil personnalisé
  • 4 profils de résultat : Souverain, En bonne voie, Dépendant, Vulnérable – avec recommandations adaptées
  • Aligné sur la méthodologie IRN pour rester compatible avec le cadre qui se met en place en France
  • Gratuit, anonyme, sans inscription – le résultat est immédiat et partageable
  • Tendance observée : Infrastructure et Gouvernance sont les maillons faibles récurrents
  • Ce n’est pas un audit – c’est le déclencheur qui permet de savoir si vous en avez besoin

Faire le diagnostic →

Notes

  1. La Suite Meet (ex-Visio), l’outil de visioconférence de la DINUM, est construit sur LiveKit – une technologie open source, mais américaine.

Nicolas Verlhiac

Nicolas Verlhiac

Full stack software expert | E-commerce & CRM

Nous sommes spécialisés dans la création de solutions technologiques innovantes qui aident les entreprises à rester compétitives et à prospérer.

Prendre rendez-vous avec Nicolas

tracking-thumb