Cinq mois après le lancement officiel de l’Indice de résilience numérique (IRN) le 26 janvier 2026, le premier bilan reste prudent. L’outil a bien trouvé un écho chez plusieurs grands acteurs français, mais les données publiques ne permettent pas encore de parler d’une adoption massive. RTE, Docaposte, Ouest-France, CMA CGM, la Caisse des Dépôts, la SNCF, MAIF, le Groupe ADP et Orange font partie des premières organisations engagées dans l’expérimentation. Ce premier cercle donne de la visibilité à l’initiative, sans suffire à établir un changement généralisé dans les entreprises françaises.
Le changement le plus tangible tient plutôt à la manière de poser le problème. Les dépendances numériques ne sont plus seulement traitées comme un sujet de direction des systèmes d’information (DSI), de cybersécurité ou d’achats. Elles deviennent un sujet d’arbitrage pour les directions générales, les juristes, les responsables des risques et les métiers. L’IRN sert à faire remonter dans les comités de décision des questions souvent fragmentées, comme la dépendance à un fournisseur cloud, la capacité de changer de prestataire, la localisation des données, les clauses contractuelles ou la maîtrise des compétences internes.
Pour les entreprises qui l’expérimentent, l’apport n’est donc pas seulement technique. Docaposte indique avoir contribué à la finalisation du référentiel et à la structuration du processus d’évaluation, notamment grâce à des tests en situation réelle sur certains de ses systèmes critiques. Cette précision est importante, car elle montre que l’IRN n’est pas seulement un questionnaire de maturité. Il s’applique à des fonctions ou systèmes jugés essentiels, là où une rupture numérique aurait des effets directs sur l’activité.
Un outil de décision plus qu’un simple diagnostic
La première utilité de l’IRN est de transformer une inquiétude diffuse en tableau de bord. Une entreprise peut déjà savoir qu’elle dépend d’un grand fournisseur américain, d’une solution logicielle difficile à remplacer ou d’une architecture cloud complexe. Mais tant que ces éléments restent dispersés dans des contrats, des cartographies techniques ou des analyses de risques, ils pèsent peu dans les arbitrages. L’IRN propose au contraire de rendre ces fragilités comparables et suivables dans le temps.
Cette logique rejoint un mouvement plus large. L’enquête MEDEF-Wavestone menée auprès de plus de 500 dirigeants montre que 48 % des entreprises déclarent avoir engagé des actions concrètes pour renforcer leur résilience numérique, tandis que 38 % n’ont encore lancé aucune démarche. Le même travail met en évidence des réponses déjà opérationnelles, comme la diversification des fournisseurs, le renforcement de la réversibilité ou l’ajout de clauses contractuelles limitant le verrouillage technologique. Ces mesures ne découlent pas nécessairement de l’IRN, mais elles correspondent exactement au type d’actions que l’indice peut aider à prioriser.
L’avantage est clair pour les grandes organisations. L’intérêt de l’IRN est aussi de faire dialoguer des priorités différentes, c’est-à-dire en permettant de sécuriser les fournisseurs pour les achats, encadrer les contrats pour les juristes, maîtriser l’architecture pour la DSI, garantir la continuité de service pour les métiers et mesurer l’impact économique pour le comité exécutif (Comex). L’indice peut aussi servir de support de dialogue avec les fournisseurs, en obligeant à aborder la réversibilité, les engagements de service, la portabilité des données ou la dépendance à des briques propriétaires.
Ses limites sont tout aussi nettes. L’IRN ne réduit aucune dépendance par lui-même. Il peut révéler une fragilité sans fournir immédiatement l’alternative industrielle, technique ou budgétaire permettant de la corriger. L’enquête MEDEF-Wavestone souligne d’ailleurs que le manque d’alternatives européennes matures constitue le premier frein cité par les dirigeants, devant le coût de transition et le risque de perte de performance. Le risque est donc de produire un score utile mais difficile à transformer en décisions si les budgets, les compétences ou les solutions de remplacement ne suivent pas.
Fable et Mythos rappellent le risque de coupure
L’arrêt de Fable 5 et Mythos 5 par décision américaine donne une résonance particulière à l’IRN. Le 12 juin 2026, Anthropic a annoncé qu’une directive américaine de contrôle des exportations imposait la suspension de l’accès à Fable 5 et Mythos 5 pour les ressortissants non américains, y compris à l’intérieur des États-Unis. L’entreprise a indiqué avoir désactivé les deux modèles pour l’ensemble de ses clients afin de se conformer à cette décision.
Si cet épisode n’a pas de lien direct connu avec l’adoption de l’IRN par les entreprises françaises, il illustre toutefois l’un des scénarios que l’indice cherche précisément à rendre pilotables. En effet, la dépendance numérique ne se limite plus au risque de panne, de cyberattaque ou de hausse tarifaire. Elle peut désormais venir d’une décision réglementaire étrangère, d’une restriction d’accès ou d’un changement brutal de conditions d’utilisation. Pour les entreprises ayant intégré des modèles d’intelligence artificielle dans leurs produits, leurs outils internes ou leurs chaînes de développement, le risque devient très concret.
L’incident oblige notamment à examiner les architectures d’IA sous un angle nouveau. Des analyses juridiques recommandent de vérifier les intégrations par interface de programmation applicative, les utilisateurs concernés, les routages automatiques et les dépendances indirectes à un modèle donné. Autrement dit, il ne suffit plus de savoir quel outil est utilisé. Il faut aussi savoir qui peut y accéder, dans quel pays, par quel canal, avec quelle solution de repli et sous quelle contrainte juridique.
Le premier état des lieux de l’IRN est donc contrasté. L’indice n’a pas encore démontré publiquement qu’il transformait massivement les architectures numériques. En revanche, il semble déjà modifier la façon dont les grandes entreprises discutent de leurs dépendances. Son intérêt dépendra de sa capacité à dépasser le diagnostic pour déclencher des plans d’action, des clauses contractuelles plus strictes, des scénarios de secours et des choix technologiques moins irréversibles. Après Fable 5 et Mythos 5, cette approche apparaît moins théorique qu’au moment de son lancement.
Dans l'actualité
- La coupure de Fable et Mythos est un signal d’alarme pour l’Europe
- Pour le patron de Mistral AI, l’Europe doit soutenir ses pépites de l’IA
- L’IA d’Anthropic jette le trouble sur la cybersécurité
- Les jumeaux numériques et physiques, bancs d’essai pour la cyber-résilience industrielle
- Un référentiel pour cartographier les dépendances numériques critiques
- Souveraineté numérique : l’Europe a-t-elle les moyens de s’émanciper des GAFAM ?
- L’intelligence artificielle à l’épreuve de la confiance
Dans les ressources documentaires
- Entreprise numérique et e-management - Du management à l'e-management
- Les enjeux de la recherche et l’intelligence économique et stratégique
- Gestion de la continuité : réalisation et mise en œuvre d’un PCA
- Sécurité de l’information, cybersécurité et protection des données de vie privée - NF EN ISO/IEC 27001 : 2023
- NIS2 et ISO/IEC 27001 – Vers une cyberrésilience de l’Union européenne