Sylvie Rozenfeld : La part des achats en France de technologies françaises ne représente que 1%. D’après le Cigref, 83% du total des dépenses liées aux logiciels et services cloud à usage professionnel en Europe est passé auprès d’entreprises américaines. Nous sommes, en conséquence, complètement dépendants des fournisseurs américains. Face à cette asymétrie, vous appelez les entreprises françaises à se désintoxiquer de la technologie américaine. David Djaïz, ancien inspecteur des finances, vous dirigez le cabinet de conseil Ascend Partners, spécialisé dans la transformation des entreprises. Avec Yann Lechelle entrepreneur dans le numérique et Arnaud Ponce délégué général du think tank Digital New Deal, vous avez créé un indice de résilience numérique (IRN), un outil qui permet à une organisation de mesurer sa dépendance numérique et d’en faire un instrument de pilotage pour renforcer son autonomie. Lancé à Bercy le 26 janvier 2026, l’IRN a d’ores et déjà le soutien de RTE, CMA CGM, la SNCF, la MAIF, la Caisse des dépôts, Docaposte, Ouest-France, Groupe ADP et Orange.
Avant de parler de l’IRN, j’aimerais savoir si la question de la dépendance numérique est aussi importante pour les entreprises qu’elle l’est pour les États ?
David Djaïz : La souveraineté, c’est la capacité pour un État ou un ensemble d’États de disposer non seulement d’une réglementation, mais aussi d’une infrastructure qui permet d’assurer à sa population ou à l’ensemble de ses entreprises une continuité de services et un fonctionnement satisfaisant. Donc la souveraineté numérique, c’est une mission de l’État, ça peut être une mission de l’Union européenne qui consiste à s’assurer que les grands éléments critiques de la stack technologique soient suffisamment maîtrisés pour ne pas avoir à dépendre d’une puissance étrangère.
La résilience numérique est la capacité pour une organisation à fonctionner, y compris en cas de disruption, d’attaque, d’incident, d’interruption du service, ou à rétablir un bon fonctionnement en très peu de temps. La dépendance, c’est la zone de recoupement entre résilience et souveraineté. Pour une entreprise, maîtriser ses dépendances, c’est être lucide sur l’extraterritorialité du droit, le caractère agressif de certaines pratiques contractuelles ou tarifaires, notamment des éditeurs de logiciels ou des opérateurs de cloud. Et il y a une dimension aussi de souveraineté, puisque souvent, les opérateurs sont extra-européens. 80% du marché du cloud public européen est entre les mains de trois acteurs extra-européens, AWS, Azure et Google Cloud. Pour une entreprise, effectivement, le sujet ne va pas être tellement la souveraineté, notamment parce qu’il y a des entreprises qui opèrent dans plein de pays, mais d’être résiliente et maîtriser ses dépendances, les deux devant être pensées ensemble.
La souveraineté et la dépendance sont devenues des questions stratégiques
Oui car c’est lié à un certain état du monde. En quelques années, on a traversé une guerre en Ukraine qui a amené une très forte inflation des prix de l’énergie. On a vécu une guerre au Proche-Orient qui continue aujourd’hui sous la forme de la guerre en Iran avec des bombardements de data centers AWS. En fait, ces disruptions géopolitiques mondiales nous font réaliser que le monde n’est pas plat comme le prétendait Thomas Friedman, l’essayiste du tournant du XXe siècle, mais qu’en fait, il se fragmente et qu’il y a un certain nombre de zones de risques liées à cette disruption géopolitique. Et le devoir d’une entreprise est d’assurer sa continuité, sa capacité à opérer en toutes circonstances et donc de documenter les risques pour mettre en œuvre des stratégies de « derisking ».
Vous pensez que la conscience de cette dépendance n’existait pas avant ces événements ?
Après la guerre en Ukraine, il y a eu une prise de conscience très forte sur notre dépendance énergétique. Un certain nombre d’entreprises, notamment dans l’industrie, ont diversifié leurs approvisionnements énergétiques pour ne pas dépendre des seuls hydrocarbures, notamment du gaz, dont les prix explosaient. Mais ça n’était pas le cas sur le numérique parce qu’il était fourni essentiellement par nos partenaires américains et dans un monde transatlantique harmonieux qui nous procuraient du numérique innovant, à bas coût, etc. Or, on se rend compte depuis quelques années que les coûts du numérique ne sont pas si bas, du fait des pratiques quelque peu prédatrices des éditeurs de logiciels qui se traduisent par des augmentations de tarifs parfois très élevées. Par exemple, depuis le rachat de VMware par Broadcom, les tarifs ont augmenté de 200-300 %. Tous les cloud providers ont augmenté leurs tarifs parce qu’ils investissent dans l’IA. Or, ces augmentations de tarifs ne sont pas discutées avec les clients. Quant au SaaS, il donne un pouvoir à l’éditeur ou au fournisseur de services puisqu’il a la capacité de débrancher le service à tout moment. Et ça, c’est insupportable pour une entreprise qui a besoin de maîtriser ses processus critiques.
Et j’ajoute un élément supplémentaire, depuis la réélection de Donald Trump, les relations transatlantiques sont plus compliquées que prévues. On voit bien que la technologie américaine peut devenir l’otage de la crispation des discussions dans un sens comme dans l’autre. C’est-à-dire que les Américains peuvent faire pression sur l’Europe, on l’a vu avec le refus de visa pour Thierry Breton. Et puis d’une manière générale, l’Europe peut aussi être tentée d’utiliser la technologie américaine comme mesure de rétorsion en cas d’augmentation des droits de douane. Donc le devoir d’une entreprise aujourd’hui, c’est d’anticiper tous ces risques, de les documenter. Et c’est très exactement ce que propose l’IRN.
En quoi consiste l’indice de résilience numérique ?
C’est la première fois que nous essayons de penser ensemble les grandes zones de risques liées à cette économie de dépendance qui caractérise le numérique depuis une quarantaine d’années et qui s’est fortement accélérée avec l’émergence du cloud public et du « as a Service ».
L’IRN est un outil d’analyse des risques numériques à 360 degrés, avec huit grandes catégories de risques. La première porte sur le risque géopolitique, c’est le kill switch. Puis, il y a le risque juridique qui concerne les relations contractuelles, la capacité de modifications unilatérales du contrat, la conformité des fournisseurs de services aux droits européens. Il y a aussi le risque économique avec la sensibilité aux hausses de tarifs et le risque opérationnel, à savoir la capacité à fonctionner en toutes circonstances. Ensuite viennent les risques émergents liés à la data et à l’IA avec les questions suivantes : Où mes données sont-elles traitées ? Est-ce qu’un tiers peut avoir accès à mes données ? Est-ce que les modèles d’IA sont explicables ? Il y a des risques technologiques, notamment sur la supply chain, l’approvisionnement en composants. Et il ne faut pas oublier les risques liés à la cybersécurité, puis ceux liés aux aléas environnementaux et notamment à leur impact sur l’infrastructure physique. Ces risques se résument en trois grandes catégories. La catégorie stratégique, qui est la relation qu’une entreprise entretient avec ses grands vendors (économique, juridique, géopolitique). Il y une catégorie sécuritaire : est-ce qu’elle peut fonctionner en toutes circonstances ? Est-elle bien protégée contre les attaques ? Son patrimoine numérique est-il sécurisé ? Et puis, l’innovation de l’IRN, la dimension technologique. Quels sont les choix d’architecture, la transparence des architectures, la compréhension des algorithmes, l’explicabilité des modèles d’IA, l’auditabilité du code source, l’interopérabilité, la portabilité des workclouds. Toutes ces dimensions technologiques sont très peu documentées en général par les audits type Dora, car ils sont très centrés sur la sécurité et assez peu sur la technologie.
Et une fois ces risques identifiés, quel usage fait-on de l’IRN ?
C’est un vrai instrument de discussion et de décision sur l’IT, la sécurité, les risques, les achats, le juridique, l’opérationnel mais aussi un instrument de discussion entre ces fonctions et le Comex, entre ces fonctions et le comité des risques au sein du Board, entre ces fonctions et les métiers dans l’entreprise. On rentre par les grands processus métiers et on reconstitue des chaînes d’actifs qui forment des systèmes critiques. Donc on reconstitue des systèmes d’information sur toute la stack qui supportent des processus métiers.
Certes, on va donc procéder à un état des lieux, mais si on est dans une situation de dépendance, on n’a peu de marge de manœuvre.
Je ne suis pas d’accord avec ce discours qui est souvent instillé par les Big Tech américaines. En fait, il y a des alternatives. L’intérêt d’identifier tous les risques et toutes les dépendances, c’est justement de se dire qu’en fonction de l’entreprise, du secteur, des métiers de l’entreprise, on va avoir un niveau de criticité plus ou moins élevé. Et en fonction de ce niveau, on va avoir des stratégies de « derisking » ou même de pilotage de la chaîne d’actifs numériques qui seront plus ou moins régalienne. En tout cas, on est capable d’identifier que pour tel processus moins critique, on a un plus large éventail de fournisseurs, par exemple. En revanche, pour un processus très critique, les systèmes électroniques des Rafales, par exemple, il faut absolument du sourcing français ou européen.
Certes mais même les grands comptes ont du mal à négocier leurs contrats avec des fournisseurs tel que SAP.
Oui, mais on peut trouver des marges de manœuvre ailleurs, par exemple, le dual sourcing, qu’on pratique beaucoup dans l’industrie. Il faut que la chaîne d’approvisionnement logicielle arrive au même niveau d’excellence que la chaîne d’approvisionnement industrielle. Dans l’industrie, ça fait très longtemps qu’on fait du dual ou du multi-sourcing. Donc, le sujet n’est pas d’organiser la grande migration pour les entreprises qui sont sur du cloud public américain. Le sujet est de se dire, qu’est-ce que je veux mieux protéger, qu’est-ce que je veux mieux étancher. Et d’avoir une réflexion stratégique sur tout ça.
La dépendance à l’égard de leurs fournisseurs conduit les entreprises à être à la merci de surfacturation
Ce n’est pas normal que certains éditeurs de SaaS surfacturent. C’est-à-dire que pour une facture de 100, on n’utilise que 10% des services managés. Ça veut dire qu’on surachète les services dont on n’a pas besoin. Demain, grâce à l’IA, on sera capable de challenger tout ça et d’avoir un usage plus frugal, plus pointu, plus précis, moins consommateur de tokens. Et puis on risque d’avoir une saturation des capacités mondiales de calcul et une augmentation de la demande des entreprises surtout si l’IA est poussée par ces éditeurs qui font suracheter un certain nombre de services.
Dans ce contexte qu’est-ce qu’apporte l’IRN ?
L’IRN donne un score de résilience qui montre les points forts et les points faibles, les grandes zones de risques. Et en fonction de ce premier tableau, on est capable de dire si telle ou telle solution va améliorer le score ou au contraire le diminuer. En plus d’être une photographie de l’IT, il offre un cadre d’arbitrage pour le flux et notamment pour le déploiement de l’IA générative en entreprise. Parce que toutes les entreprises en ce moment sont en train de se dire qu’il faut déployer l’IA générative, mais quel modèle choisir ? En choisir un, ou plusieurs ? Quel est le modèle le plus résilient ? Mistral ? Ou plusieurs modèles concurrents ? Ce qui compte, c’est le middleware, la base de données, l’infrastructure, la solution d’hébergement. On pourrait tout à fait imaginer avoir une architecture hybride composée de Claude et de Mistral.
Sur la base d’une documentation et d’un scoring très précis de la stratégie de l’entreprise, de son niveau de réglementation, des attentes de ses consommateurs – par exemple, dans la santé, il y a des fortes attentes sur la confidentialité des données – on est capable de déterminer quelle est la bonne approche en termes de politique d’achat et de rapport aux fournisseurs.
Et sur les contrats ?
On peut négocier mieux ces contrats, on peut y introduire des clauses de réversibilité. Je pense que des entreprises, à l’échelle d’une place, la place bancaire, la place assurantielle, ou même les entreprises de la base industrielle et technologique de défense, ont tout intérêt à mutualiser les modes pratiques. Et l’IRN peut aider à ça aussi.
Est-ce que c’est de l’auto-régulation ? Est-ce que c’est de la labellisation ? Est-ce que c’est de la certification ?
Il y a une grille méthodologique et un référentiel qui ont été mis en open source. Ainsi, les entreprises qui le souhaitent peuvent s’auto-évaluer. Néanmoins, pour que l’IRN soit le plus productif et le plus utile possible, je recommande aux entreprises de se faire accompagner par des cabinets de conseil ou des Entreprises de Services du Numérique (ESN) pour en faire un vrai outil de pilotage interne et d’aide à la décision.
Il faut faire travailler ensemble des fonctions qui sont trop silotées dans les entreprises : l’IT, la SSI, le juridique, les achats, les risques et puis, bien sûr, les métiers concernés. Il faut ensuite traduire cette matière-là en un langage stratégique pour le Comex ou en un langage de risque management pour le comité des risques. Et à partir du mois de septembre, on pourra labelliser des systèmes critiques sur la base d’un scoring paramétré par secteur et par entreprise en fonction des priorités stratégiques de l’entreprise. À partir du mois de septembre, un label sera délivré par des entreprises agréées par l’association Digital Resilience Initiative. Beaucoup d’entreprises ont émis le souhait d’être agréées. Et elles auront un rôle à jouer aussi dans l’accompagnement des entreprises à la mise en œuvre de l’IRN.
Le 26 janvier 2026 au ministère de l’Économie et des Finances, et en présence de la ministre déléguée chargée de l’Intelligence artificielle et du Numérique Anne Le Hénanff, lors des premières Rencontres de la souveraineté numérique ont été lancés l’Observatoire de la souveraineté numérique et l’Indice de résilience numérique ? L’IRN est-ce une initiative complètement privée car certains ont pu croire que l’Etat était impliqué ?
Dans la communication officielle de Bercy, il était bien dit que les Rencontres de la souveraineté numérique avaient pour but de mettre en valeur des initiatives publiques ou privées. En l’occurrence, l’IRN, c’est une initiative publique-privée, puisque c’est un consortium d’acteurs publics et privés. Il y a trois co-fondateurs Yann Lechelle, Arnaud Ponce et moi, mais on a très vite voulu associer les entreprises.
Est-ce qu’une telle initiative existe déjà en Europe ?
Non, mais on va l’étendre en Europe. En plus de la Caisse des dépôts française, la KFW, la Banque européenne d’investissement et l’équivalent des Caisses des dépôts au Portugal et en Pologne vont rentrer vers une dynamique d’européanisation de l’IRN. Notre objectif est d’en faire un standard européen et de ne pas se cantonner au marché franco-français. C’est un standard technique dont on voudrait que toutes les entreprises publiques et privées et même les ministères l’utilisent pour analyser leur niveau de résilience numérique et mettre en place des stratégies d’achat, des stratégies contractuelles, d’architecture, d’open source, de diversification des fournisseurs, de formations des équipes. Parce qu’une des dimensions essentielles de la résilience numérique, ce sont les compétences internes. Est-ce que l’entreprise possède toujours les compétences critiques pour opérer certains services publics critiques afin de ne pas tomber en dépendance intellectuelle vis-à-vis de quelques acteurs oligopolistiques ?
Déjà, l’externalisation des systèmes d’information avait provoqué une dépendance, une perte de compétences internes. Et l’IA va l’accentuer, puisqu’en fait, il y a une perte de savoir-faire.
Non, pas forcément. Il y a eu une perte de maîtrise avec le SaaS parce qu’on a délégué à des éditeurs et à des providers extérieurs un nombre croissant de fonctions IT au bénéfice d’une certaine agilité. Cela a permis la transformation des entreprises qui ont pu effectuer des choses très compliquées, absorber des volumes et des charges très compliquées qu’on n’aurait pas pu absorber avec une informatique interne obèse. En revanche, comme le cloud intègre le système du « as a Service », une « Infrastructure as a Service », « Software as a Service », on groupe de plus en plus de services. On a perdu du savoir-faire.
On s’est donc mis en situation de dépendance.
Exactement, on s’est mis en situation de dépendance technique, intellectuelle, géopolitique, économique. La dépendance est géopolitique, parce que 80% de ses acteurs sont américains. Elle est technologique, ils ont une scalabilité et une surface d’opération avec laquelle il est difficile de rivaliser. Elle est économique, ils augmentent très fortement leurs tarifs et elle est juridique, parce qu’il y a des relations contractuelles souvent très asymétriques.
Est-ce que l’IA ne risque-t-elle pas d’accentuer ce phénomène ?
On va connaître une révolution de l’organisation du travail qui est analogue à la révolution fordiste qui portait sur l’industrie mécanique. C’était la division du travail, le travail à la chaîne, l’organisation scientifique du travail pour la production physique. Là, il s’agit de production logicielle, intellectuelle et cognitive. Mais l’impact économique, sociologique, psychologique de cette révolution est tout aussi important. Donc, de deux choses l’une, soit l’IA va être le dernier clou dans le cercueil de l’indépendance qui va affaiblir la capacité des entreprises à créer de la valeur dans le monde de demain parce qu’une part croissante de la création de valeur viendra évidemment du numérique. Soit, cas de figure plus optimiste, on utilise l’IA comme un levier pour challenger les positions établies et dominantes de certains acteurs qui demain ne seront plus aussi dominants. Ça ne veut pas dire que le logiciel va disparaître. Ça veut dire qu’il devra être plus contextuel, davantage sur mesure.
Cela implique-t-il une réinternalisation de l’IT ?
Il y a un retour dans la situation complète par rapport aux années 2010 où on préconisait d’arrêter avec l’informatique interne et de faire confiance aux éditeurs de logiciels. Aujourd’hui on arrive dans un moment où les cartes vont être rebattues. Je ne suis pas en train de dire qu’on va tout réinternaliser, ce n’est pas le sujet. Le sujet c’est de rendre visibles les dépendances, les objectiver. Donc on passe des dépendances subies à des dépendances choisies et dans le mot choisir il y a une dimension stratégique. On choisit les dépendances.
L’IRN correspond-il à une réelle demande des entreprises en France ?
Énorme. Tous les DSI savent que la dépendance numérique est un sujet majeur. Un DSI a trois grandes missions : assurer la distribution d’innovations dans l’entreprise parce que le numérique c’est une économie d’innovation, maîtriser ses dépendances parce que le numérique est une économie dépendante et assurer la protection de ses actifs numériques existants. On s’est rendu compte de l’existence d’une sorte de triangle d’incompatibilité dans les entreprises entre pousser les curseurs de l’innovation, pousser ceux de la maîtrise des dépendances et bien protéger ses actifs. Souvent, les DSI étaient condamnés à choisir entre innovation et maîtrise des dépendances. En gros, on avait soit les entreprises avec une informatique interne obèse, des dépendances maîtrisées mais peu innovante, soit les entreprises avec très peu d’informatique interne, énormément de dépendances, mais une belle agilité et une belle innovation. Or, la résilience offensive qu’on défend, consiste précisément à trouver le centre de gravité entre ces trois dimensions et être capable de construire une stratégie adaptée aux besoins de l’entreprise, à la réglementation, aux attentes des parties prenantes, que ce soit les consommateurs ou les actionnaires.
Michel Paulin, président de la filière Logiciels et Solutions Numériques de Confiance, affirme que pour chaque maillon de la chaîne, l’Europe dispose de toutes les équivalences. Alors pourquoi les technologies européennes ne percent pas ?
L’un des problèmes majeurs est la dépendance culturelle. Il faut donc reconquérir une forme d’autonomie culturelle. L’autre difficulté, c’est le bundling : on a l’infra, la plateforme, les logiciels, le tout opéré à distance, mis à jour en temps réel, sans effort. Les solutions européennes existent mais en ordre dispersé. Le grand défi sera de constituer des bouquets d’offres avec la solution d’hébergement, la plateforme de datas et le logiciel. Je crois en l’open source mais il faut que les fournisseurs européens présentent des solutions de bundling pour faciliter la tache des directions informatiques.
Cela repose sur des initiatives privées.
Je crois aux collaborations public/privé. Ce n’est pas le rôle de l’Etat.
Et l’Europe ?
Elle a un rôle réglementaire. Mais ce dont on parle relève de la politique industrielle. L’IRN n’est pas une règlementation, c’est un instrument industriel au service de la compétitivité des entreprises européennes.
La règlementation peut également être un outil de compétitivité
Mais il faut avoir un usage compétitif de la règlementation et non pas juste cocher des cases pour être conforme. La fonction juridique doit travailler avec l’IT, la sécurité, les risques. Les centres d’excellences de la résilience qu’on crée pour les entreprises afin que ces fonctions apprennent à mieux travailler avec l’IT. Et il y a une très forte demande des entreprises y compris des directions juridiques.
Propos recueillis par Sylvie ROZENFELD pour le magazine Expertises, n°523
