Gouvernance

IRN : la France se dote enfin d'un outil pour mesurer sa dépendance tech

  • 5 février 2026
  • 9 min. à lire
L'IRN évalue la capacité des organisations à survivre à une crise tech. 20 critères, une note sur 100. Analyse critique du framework.

Sommaire

  1. Le problème : dix ans de discours, zéro tableau de bord
  2. De “souveraineté” à “résilience” : le glissement qui change tout
  3. Pourquoi maintenant ? Les trois déclencheurs
  4. L’IRN : comment ça marche concrètement
  5. Ce que l’IRN révèle en creux
  6. Soyons honnêtes : un framework de plus, ou un vrai levier ?
  7. Concrètement, par où commencer ?
  8. TL;DR
  9. Notes

Janvier 2026 : Trump menace l'Europe de tarifs, Washington sanctionne un ex-commissaire européen, la France remplace Teams par Visio. La dépendance technologique n'est plus un sujet de colloque — c'est l'actualité. L'Indice de Résilience Numérique tombe à point nommé pour poser la question qui fâche : si demain le robinet se ferme, on tient combien de temps ?

Janvier 2026. Trump menace l’Europe de tarifs de 10 à 25%1. Washington impose des sanctions à Thierry Breton, ex-commissaire européen. Le Parlement européen vote pour réduire la dépendance aux fournisseurs étrangers — actuellement 80% des produits et services numériques. La France annonce remplacer Zoom et Teams par sa solution souveraine Visio (qui repose sur LiveKit, une stack américaine — mais passons).

Le précédent qu’on préfère oublier. En mars 2022, VMware, Cisco, Oracle et SAP suspendaient leurs opérations en Russie en réponse à l’invasion de l’Ukraine2. Des milliers d’entreprises se sont retrouvées avec des infrastructures critiques sans support ni mises à jour. Ce qui semblait être un cas isolé ressemble aujourd’hui à une répétition générale.

Janvier 2024. Broadcom finalise l’acquisition de VMware et annonce la fin des licences perpétuelles. Résultat : des augmentations de 800 à 1 500% pour les clients européens, selon CISPE3. Pas de plan de sortie ? Vous payez ou vous arrêtez tout.

26 janvier 2026. À Bercy, l’Indice de Résilience Numérique (IRN) entre en phase opérationnelle. 20 critères, une note sur 100, une question simple : si demain le robinet se ferme, vous tenez combien de temps ?

Après dix ans de discours sur la “souveraineté numérique”, on a enfin un thermomètre. Reste à savoir si on va aimer ce qu’il mesure.

Le problème : dix ans de discours, zéro tableau de bord

Souveraineté numérique. Le terme revient dans chaque discours politique depuis 2015. On l’a entendu pendant les débats RGPD, pendant la crise Covid, pendant chaque polémique sur le Health Data Hub.

Et pendant ce temps ?

Ce qu’on disaitCe qu’on faisait
”Protégeons nos données stratégiques”Migration massive vers GCP et Azure
”Soutenons les acteurs français”Adoption de Salesforce, IBM, Workday
”Maîtrisons notre infrastructure”Dépendance totale à VMware, Cisco, Microsoft
”Anticipons les risques géopolitiques”Aucun plan de réversibilité documenté

La souveraineté est restée un sujet de tribune. Personne n’avait d’outil pour la mesurer, donc personne ne la pilotait.

De “souveraineté” à “résilience” : le glissement qui change tout

“La souveraineté, c’est un sujet politique. La résilience, c’est concret : c’est la gestion de ses dépendances et de ses interdépendances.” — Arno Pons, Digital Resilience Initiative

Ce changement de vocabulaire n’est pas cosmétique. Il traduit une maturité nouvelle.

Souveraineté évoque l’autarcie, le repli, le “tout français cocorico”. Un idéal qui se heurte à la réalité : oui, OVH, Scaleway et Outscale existent. Non, ils ne proposent pas (encore) l’équivalent des 200+ services AWS. Et surtout, les équipes IT françaises connaissent AWS par cœur — les alternatives, beaucoup moins.

Résilience pose les vraies questions :

  • Quels sont mes single points of failure ?
  • Combien de temps je survis si un fournisseur critique triple ses prix ?
  • Ai-je un plan B si une juridiction étrangère exige l’accès à mes données ?
  • Mes équipes savent-elles opérer sans le prestataire qui a tout construit ?

Dit autrement : vous pouvez rester chez un hyperscaler américain. Mais vous devez savoir ce que ça implique et avoir un plan de sortie.

Pourquoi maintenant ? Les trois déclencheurs

1. Le Cloud Act est sorti des PowerPoints juridiques

Le Cloud Act, on en parlait comme d’un risque théorique. “Oui, techniquement, les autorités américaines peuvent demander vos données, mais bon, ça n’arrive jamais vraiment.”

Sauf que si. Les entreprises russes l’ont vécu en 2022. Et les clauses contractuelles des hyperscalers sont limpides : en cas de conflit entre le droit local et le droit américain, c’est le droit américain qui prime.

Le scénario cauchemar : Vous êtes une ETI française dans un secteur sensible. Votre concurrent américain lance une procédure de discovery. Vos données sur Azure peuvent être saisies sans que vous le sachiez. Légalement. C’est prévu dans le contrat que vous avez signé.

2. Les factures cloud ont explosé

Les budgets cloud explosent : 84% des organisations peinent à maîtriser leurs dépenses, et les budgets sont dépassés de 17% en moyenne4. Certaines entreprises ont découvert qu’elles dépensaient plus en cloud qu’en salaires IT.

Le lock-in technique est réel : plus vous utilisez des services propriétaires (Lambda, DynamoDB, Azure Functions), plus la migration devient coûteuse. Ce n’est pas forcément un piège intentionnel — ces services sont souvent plus pratiques que les alternatives. Mais le résultat est le même : quand le coût de sortie dépasse le coût de la hausse tarifaire, vous n’avez plus de levier de négociation.

Souvenez-vous de Google Maps en 2018 : +1 400% sur certains tiers tarifaires, du jour au lendemain5. Des centaines d’entreprises ont dû migrer en urgence vers Mapbox ou OpenStreetMap. Celles qui avaient trop intégré l’API Google dans leur stack ? Elles ont payé. Et ce n’est qu’un exemple parmi d’autres.

3. L’IA a ajouté une couche de dépendance

Chaque nouvel outil IA, c’est une nouvelle dépendance. OpenAI, Anthropic, Google — des APIs dont vous ne contrôlez ni les prix, ni les conditions, ni la disponibilité, ni l’évolution des modèles.

On l’a vu avec les “ChatGPT internes” : 95% d’échecs, des millions investis pour des wrappers autour d’APIs tierces. La dépendance n’a jamais été aussi profonde, et les plans B n’ont jamais été aussi flous.

L’IRN : comment ça marche concrètement

L’Indice de Résilience Numérique s’inspire de DORA (Digital Operational Resilience Act) et du modèle B Corp : un cadre d’évaluation standardisé, ouvert, utilisable par tous.

Les 3 blocs, 20 critères

BlocCe qu’il mesureCritères clés
Stratégie & BusinessVotre exposition aux chocs externesDépendances juridictionnelles, clauses de réversibilité, “kill switch” tarifaire, concentration fournisseurs
Sécurité & TechnologieVotre capacité à encaisser une criseContinuité d’activité, vulnérabilités environnementales, sécurité des données, PRA/PCA testés
GouvernanceVotre niveau de maîtrise réelCartographie des dépendances, compétences internes, explicabilité IA, gouvernance data

Chaque critère est noté de 0 à 5. Score maximum : 100 points.

Ce que les scores révèlent (spoiler : c’est pas glorieux)

L’IRN ne publie pas encore de benchmark officiel, mais les études existantes donnent le ton. Selon une étude citée par eG Innovations6 :

CritèreCe qu’on observe
Aucun plan de sortie cloud~24% des entreprises
Plan de sortie sans droits sur les données~41% des entreprises
Vraie stratégie de réversibilité documentée~21% seulement

Traduction : Moins d’un quart des entreprises sauraient quoi faire si un fournisseur critique disparaissait demain.

Le modèle B Corp appliqué au numérique

L’IRN est publié en licence Creative Commons. Auto-diagnostic gratuit. L’objectif : devenir le langage commun entre DSI, COMEX et directions des risques.

Une seconde phase prévoit l’accréditation de cabinets pour des évaluations certifiées. À terme, l’IRN pourrait devenir un critère dans les appels d’offres publics — comme le bilan carbone l’est devenu pour certains marchés.

Ce que l’IRN révèle en creux

L’offre européenne existe — mais personne ne l’utilise

Arno Pons est catégorique : “L’offre, elle existe. Elle n’est pas consolidée.”

  • Infrastructure : OVHcloud, Scaleway, Clever Cloud, Outscale, Infomaniak
  • Stockage : Docaposte, Oodrive, Tresorit
  • IA : Mistral, Hugging Face, Aleph Alpha
  • Bureautique : Infomaniak, Zimbra, OnlyOffice

Les briques sont là. Ce qui manque, c’est l’intégration — et surtout l’habitude. Les équipes IT connaissent AWS par cœur. Scaleway ? “On a regardé une fois, mais bon…”

La direction générale est larguée

On ne pourra bientôt plus diriger un grand groupe sans “parler IT et IA” comme on parle finance.

Le problème ? Beaucoup de COMEX considèrent encore le numérique comme un centre de coûts délégué à la DSI. Pas comme une infrastructure vitale au même titre que l’énergie ou la supply chain physique.

Quand le board ne comprend pas les enjeux, il ne challenge pas les choix. Et quand il ne challenge pas, les dépendances s’accumulent en silence.

Le vendor lock-in : effet de bord ou stratégie ?

Plus vous utilisez de services propriétaires, plus la migration devient coûteuse. Ce n’est pas toujours intentionnel — ces services sont souvent plus pratiques que les alternatives. Mais le résultat est le même.

ServiceAlternative standardCoût de migration
Azure FunctionsConteneurs (Docker/K8s)Réécriture complète
Azure AD / EntraKeycloak, authentik6-12 mois de migration
Google BigQueryPostgreSQL, ClickHouseRefonte data pipeline
Cosmos DBPostgreSQL, MongoDBRéécriture applicative

Le problème n’est pas que ces services soient “mauvais” — c’est qu’ils créent une dépendance dont on ne mesure le coût qu’au moment de partir.

Soyons honnêtes : un framework de plus, ou un vrai levier ?

Après ISO 27001, DORA, NIS2, SecNumCloud… on pourrait être blasé. Encore un cadre, encore des critères, encore un score.

Mais cette fois, c’est peut-être différent.

Ce que l’IRN apporte vraiment

1. Objectiver un ressenti flou

Beaucoup d’entreprises ont une conscience parcellaire de leurs dépendances. “On sait qu’on est sur Azure, mais bon…” L’IRN force à poser les questions qu’on évite : et si Microsoft changeait ses conditions ? Et si une juridiction étrangère exigeait l’accès ? Avez-vous un plan B ?

Un score de 35/100, c’est plus difficile à ignorer qu’un vague sentiment d’inconfort.

2. Créer un langage commun

Aujourd’hui, le DSI parle technique, le COMEX parle risque business, la direction juridique parle compliance. Personne ne se comprend. L’IRN propose une grille partagée — et ça, c’est précieux pour débloquer des budgets et des décisions.

3. Structurer l’accompagnement

Savoir qu’on a un problème, c’est une chose. Savoir par où commencer, c’en est une autre. L’IRN donne un cadre pour prioriser — et pour travailler avec un prestataire sans repartir de zéro.

Ce que l’IRN ne résoudra pas seul

Le diagnostic ne suffit pas. Ce qui bloque souvent :

  • Le budget : migrer coûte cher et n’apporte aucune feature visible
  • Les compétences : les équipes connaissent les outils US, pas les alternatives
  • L’inertie : “ça marche, pourquoi changer ?”
  • La complexité des chaînes de dépendance : même les initiatives “souveraines” cachent des dépendances. Visio remplace Teams, mais repose sur LiveKit (US). On déplace le problème plus qu’on ne le résout.

Un score sur 100 ne change pas cette équation. Mais il peut ouvrir la conversation — et c’est déjà beaucoup.

Le vrai risque

Que l’IRN devienne un exercice de conformité de plus. On fait le diagnostic, on obtient 42/100, on le met dans le rapport annuel, et on continue comme avant.

Pour éviter ça, il faudra des relais concrets : exigences dans les appels d’offres publics, pression des assureurs cyber, ou tout simplement — un incident qui réveille.

Mon pronostic : L’IRN ne transformera pas les organisations seul. Mais pour celles qui cherchent un cadre pour structurer leur démarche, c’est un point de départ solide. Le reste, c’est de l’accompagnement et de la volonté.

Concrètement, par où commencer ?

L’IRN est un cadre complet, mais son déploiement formel prendra du temps. En attendant, vous pouvez déjà évaluer votre situation.

Étape 1 : Savoir où vous en êtes

Avant de parler réversibilité et plans B, encore faut-il connaître vos dépendances actuelles.

Nous avons développé un diagnostic de souveraineté numérique qui évalue votre situation sur les 5 axes alignés avec l’IRN :

  • Données : localisation, juridiction, chiffrement, accès
  • Applicatif : dépendance éditeurs, accès au code, alternatives identifiées
  • Infrastructure : portabilité, réversibilité, automatisation (IaC)
  • Gouvernance : stratégie tech, critères de sélection, vendor lock-in
  • Compétences : autonomie des équipes, documentation, transfert de connaissances

15 questions, 3 minutes. Le score vous donne une première cartographie — et surtout, il identifie vos angles morts.

Étape 2 : Partir des métiers vitaux

L’erreur classique : cartographier tous les outils de l’entreprise. Vous y passerez six mois et ça ne servira à rien.

L’approche IRN (et DORA) : partir des processus critiques.

  1. Quels métiers ne peuvent pas s’arrêter plus de 4h ?
  2. Quels outils alimentent ces métiers ?
  3. Quelles sont les dépendances de ces outils ?

Vous obtenez une liste courte — et c’est là qu’il faut concentrer l’effort.

Étape 3 : Documenter les plans de sortie

Pour chaque dépendance critique identifiée :

  • Alternative identifiée : oui/non (et laquelle)
  • Coût de migration estimé : ordre de grandeur
  • Délai de migration : semaines, mois, années ?
  • Compétences nécessaires : internes ou externes ?

Si vous ne pouvez pas remplir ces quatre cases, vous n’avez pas de plan B. Vous avez un espoir.

TL;DR

  • L’IRN (Indice de Résilience Numérique) est entré en phase opérationnelle en janvier 2026 — 20 critères, note sur 100, licence ouverte
  • Le glissement sémantique compte : “résilience” remplace “souveraineté” parce qu’on parle enfin de gestion des risques, pas d’autarcie fantasmée
  • Les déclencheurs : VMware/Russie, Broadcom (+800-1500%), dépendance IA — le risque est devenu tangible
  • L’état réel : ~24% des entreprises n’ont aucun plan de sortie cloud, seules ~21% ont une vraie stratégie documentée
  • L’offre européenne existe mais reste fragmentée et sous-utilisée par habitude
  • L’IRN ne changera rien pour ceux qui dorment — mais structure la démarche pour ceux qui veulent agir
  • Par où commencer : diagnostiquer, partir des métiers vitaux, documenter les plans de sortie

Notes

  1. TechCrunch, “Amid Trump attacks and weaponized sanctions, Europeans look to rely less on US tech”, janvier 2026.

  2. The Register, “Oracle and SAP suspend business in Russia”, mars 2022. VMware, Cisco ont suivi dans les jours suivants.

  3. The Register, “VMware price hikes: 800-1,500% claim Euro customers”, mai 2025. Données CISPE compilées par l’European Cloud Competition Observatory.

  4. Flexera, “2025 State of the Cloud Report”, mars 2025. 84% des organisations peinent à maîtriser leurs dépenses cloud.

  5. Geoawesome, “Developers react to Google Maps API price hike”, 2018. Augmentations jusqu’à 1 400% sur certains tiers.

  6. eG Innovations, “The Importance of a Cloud Exit Strategy”, 2024. Étude sur les stratégies de sortie cloud des entreprises.

Nicolas Verlhiac

Nicolas Verlhiac

Full stack software expert | E-commerce & CRM

Nous sommes spécialisés dans la création de solutions technologiques innovantes qui aident les entreprises à rester compétitives et à prospérer.

Prendre rendez-vous avec Nicolas

tracking-thumb