Andrey Popov - Fotolia

Actualites

Des grands groupes français s’entendent pour cartographier leurs dépendances IT

La Caisse des Dépôts, RTE, Docaposte, la SNCF ou encore CMA-CGM se rejoignent autour d’un projet qui standardise la cartographie et l’analyse des dépendances IT. Bien que soutenu par le ministère de l’Économie, l’indice de résilience numérique n’a pas vocation à devenir un instrument légal. Et il sera peu utile s’il n’aboutit pas sur la réduction des attaches contractuelles et technologiques, reconnaissent ses instigateurs.

Gaétan Raoul
par
Publié le: 20 janv. 2026

Lundi 26 janvier prochain, l’indice de résilience numérique sera officiellement présenté sous le patronage d’Anne Le Hénanff, ministre déléguée de l’IA et du numérique, à Bercy. L’association loi 1901 A Digital Resilience Initiative (aDRI) accouche d’un référentiel et d’une méthodologie sous licence Creative Common (CC BY-NC-ND). Le tout est partagé depuis un dépôt GitLab sous la forme d’un fichier XLSX. Celui-ci doit permettre aux entreprises, aux organisations et aux éditeurs d’établir leur cartographie des dépendances numériques.

L’association a suscité le rapprochement de la Caisse des Dépôts, RTE et Docaposte. L’indice de résilience numérique a été à la fois conceptualisé et expérimenté par RTE et Docaposte. Ils ont été rejoints en cours de route par CGMA-CGM, la SCNF, le Groupe Aéroports de Paris, Orange, Ouest-France, la MAIF et le Crédit Mutuel.

Ce regroupement semble à la fois provoqué par l’atmosphère géopolitique et par la dépendance de plus en plus forte à quelques acteurs IT. L’aDRI mentionne le constat du rapport Asterès pour le Cigref qui estime que 80 % des 265 milliards d’euros de dépenses IT annuels sont « captés par des acteurs américains ». D’autant plus que, selon Wavestone, « 90 % des données occidentales transitent ou sont stockées sur des infrastructures cloud appartenant à des entreprises américaines ».

« Nous nous sommes dit qu’il fallait créer quelque chose qui soit à la fois très robuste et en même temps très utile, efficace pour des bonnes discussions en COMEX et prendre des arbitrages », déclare David Djaïz, associé et dirigeant d’Ascend Partners. Il intervenait lors du sommet de la souveraineté technologique de l’autonomie stratégique du numérique en France et en Europe (sic). L’événement était organisé ce 20 janvier par le consortium Innovation Makers Alliance au ministère de l’Économie. David Djaïz est l’un des cofondateurs de l’initiative avec Yann Lechelle, CEO de Probabl, et Arno Pons, délégué général du Think Tank Digital New Deal. Elle avait été présentée en juillet dernier avec le soutien de Clara Chappaz, alors ministre déléguée chargée de l’IA et du numérique afin de susciter l’adhésion des entreprises au projet de co-conception du référentiel.

L’indice de résilience numérique, un outil de communication et d’aide à la décision

L’indice de résilience numérique vise d’abord l’évaluation des systèmes critiques au sein des entreprises. « La notion de système critique permet de faire le tri », explique David Djaïz. « Il y a ce sur quoi effectivement on ne peut pas se permettre d’être trop dépendant, notamment d’acteurs extraeuropéens, et puis il y a le reste », nuance-t-il. « Ce qui est important, c’est d’avoir une métrique, car l’on ne maîtrise vraiment que ce que l’on mesure ».

Cette analyse, selon David Djaïz, répond à une « approche Full Stack ». Elle s’étale sur huit dimensions : la stratégie, la Data et l’IA, la supply chain, la sécurité, le réglementaire, la technologie et l’environnement. Chacune de ces dimensions comporte trois critères quantitatifs et qualitatifs, notés de 0 à 100. Un score moyen doit indiquer si le système est résilient ou non résilient. Un diagramme de Kiviat (spider graph) devrait permettre d’établir les forces et les faiblesses d’une entreprise en la matière.

David Djaïz résume ces huit dimensions en grands blocs : le « business », la sécurité et la technologie.

Il s’agit d’établir la cartographie des risques en matière contractuel, par exemple pour anticiper les hausses tarifaires. L’objectif est de faire de même en matière de cybersécurité, mais aussi en ce qui concerne la continuité opérationnelle. C’est-à-dire « la capacité à faire fonctionner les systèmes envers et contre tous, même en mode dégradé », explicite David Djaïz. L’évaluation de la résilience technologique consiste à inspecter les dépendances au sein des infrastructures sur site et en cloud, des applications, SaaS ou non, et des logiciels open source.

L’objectif est d’identifier les risques de perte de contrôle, de vulnérabilité juridique, d’érosion des compétences et de continuité d’activité (en cas de crise géopolitique ou « d’aléas climatiques »).

La terminologie a son importance, estime Yann Lechelle. Les instigateurs du projet n’ont pas souhaité utiliser le terme de souveraineté numérique et préfèrent se concentrer sur la résilience. « L’idée c’est d’avoir une lecture sans jugement afin d’étudier les systèmes critiques au cœur des entreprises », indique l’ex-CEO de Scaleway. Il ne faut pas brusquer les entreprises et s’extraire du discours marketing, comprend LeMagIT.

L’effort doit s’appuyer sur les travaux déjà réalisés dans le cadre de la conformité réglementaire à DORA et NIS2. « Certaines entreprises ont déjà fait cet inventaire, d’autres devront le faire », considère-t-il.

Parmi ceux qui sont prêtés à cet effort de cartographie des dépendances numériques, la filiale numérique de la Poste, Docaposte. « Nous nous sommes autoappliqué l’indice. La bonne nouvelle, c’est que c’est réellement applicable et cela permet de remonter des éléments compréhensibles au COMEX », témoigne Benoît Parizet, directeur général adjoint chez Docaposte. « Dans cette expérience, nous avons compris qu’il est très important de mettre l’ensemble des composantes de l’entreprise autour de la table », recommande-t-il. « Il faut à la fois des responsables de la sécurité, des technologies, de l’aspect juridique, des risques et de la finance ». Jusqu’alors, ces analyses étaient effectuées en silos. Il s’agit de constituer une « vision collective ». Et de reconnaître que sans prise d’action, par exemple pour réduire les coûts, renforcer la conformité, l’innovation et l’agilité, l’exercice n’a que peu de valeur.

Vers une labélisation des systèmes critiques résilients

Docaposte s’est administré la solution de révélation des dépendances numériques. Elle compte aussi la proposer à sa clientèle. Au-delà d’une méthodologie ouverte, l’indice de résilience numérique s’accompagnera d’un service de certification, opéré par des ESN et des cabinets de conseil. « Cela ressemble aux démarches B Corp auprès d’un acteur comme Ecovadis », illustre David Djaïz. Les entreprises qualifiées de résiliente pourront arborer un logo « R », comme résilient. Ce processus n’est toutefois pas obligatoire, insistent les porte-parole. Les organisations peuvent très bien utiliser la matrice disponible publiquement pour explorer en interne leurs dépendances.

« L’objectif n’est pas d’aboutir à une réglementation », complète David Djaïz pour clarifier le soutien du ministère de l’Économie et de la ministre déléguée du Numérique. « Nous faisons le pari qu’un consensus d’acteurs privés joue le jeu de l’intelligence collective. Il se passe quelque chose dans le monde bancaire et de l’assurance : ils nous suivent pratiquement tous dans la démarche », avance-t-il. « Nous espérons que cela suscite l’intérêt des acteurs de l’industrie, notamment de la défense et de l’aéronautique ».

Reste à savoir si l’analyse des dépendances aboutira sur des changements de politique d’achats IT.

En tout cas, l’aDRI se tourne vers les instances de l’Union européenne. Elle compte s’enregistrer à Bruxelles pour obtenir le statut d’ASBL, une association sans but lucratif, qui simplifiera son effort d’influence auprès de la Commission. La Fondation Éclipse avait entamé la même démarche pour s’installer en Europe.

Pour approfondir sur Réglementations et Souveraineté