Comment l'IRN mesure-t-il la dépendance aux fournisseurs de logiciels étrangers ?

L'IRN comptabilise la part des dépenses consacrées aux logiciels et licences issus de fournisseurs non européens, tout en distinguant les investissements vers le national ou l'européen. Il interroge ensuite la géolocalisation du stockage des données, identifiant celles hébergées hors d'Europe. Au-delà de ces critères quantitatifs, l'indice évalue la capacité de l'organisation à migrer entre fournisseurs, l'existence de clauses de réversibilité contractuelles et le degré d'appui sur des technologies ouvertes (open source, standards ouverts) qui réduisent le risque de vendor lock-in.

Qui est à l'origine de l'IRN et qui porte le projet ?

L'IRN a été initié par David Djaïz (Ascend Partners), Yann Lechelle (Sens Digital) et Arno Pons (think tank Digital New Deal). Le projet est porté par l'association aDRI (Digital Resilience Initiative), présidée d'honneur par Olivier Sichel, Directeur Général de la Caisse des Dépôts. L'initiative est soutenue par le Ministère de l'Économie et des Finances, le CIGREF, Numeum, et bénéficie du parrainage ministériel d'Anne Le Hénanff.

Quels sont les 8 piliers de l'IRN ?

L'IRN structure son évaluation autour de 8 piliers : résilience stratégique (vision tech, gouvernance IT), résilience économique et juridique (conformité RGPD, AI Act, NIS2), résilience data et IA, résilience opérationnelle (continuité d'activité), résilience supply-chain (diversification fournisseurs), résilience technologique (open source, cloud souverain), résilience sécurité (cybersécurité) et résilience environnementale (Green IT, sobriété numérique).

L'IRN est-il obligatoire pour les collectivités territoriales ?

Non, l'IRN repose sur une démarche volontaire. Aucune obligation réglementaire n'impose son utilisation. Cependant, pour les collectivités soumises à la directive NIS2, au RGPD ou devant démontrer la robustesse de leur cybersécurité auprès de financeurs, l'IRN constitue un outil précieux de pilotage et de preuve de maturité numérique. La note obtenue peut faciliter l'accès à des financements dédiés à la cybersécurité ou à la transition vers des clouds souverains.

Quel est le lien entre l'IRN et les réglementations NIS2, RGPD, DORA et AI Act ?

L'IRN s'aligne sur les principales réglementations européennes du numérique. Il évalue la conformité aux exigences de NIS2 (sécurité des réseaux et systèmes d'information), du RGPD (protection des données personnelles), de DORA (résilience opérationnelle numérique du secteur financier), de l'AI Act (encadrement de l'intelligence artificielle) et du Data Act (gouvernance des données). Pour chaque pilier, l'indice identifie les écarts réglementaires et propose des axes d'amélioration.

L'IRN est-il gratuit et en accès libre ?

Oui. Le référentiel méthodologique est publié sous licence Creative Commons (CC BY-NC-ND), ce qui signifie que toute organisation peut l'utiliser gratuitement pour réaliser une auto-évaluation de ses systèmes critiques. Pour les organisations souhaitant un accompagnement certifié, des cabinets d'audit agréés par aDRI pourront à terme labelliser les évaluations.

Quelle différence entre résilience numérique et souveraineté numérique ?

La souveraineté numérique relève du domaine régalien : elle désigne la capacité d'un État à exercer un contrôle sur ses données, ses infrastructures et son espace numérique. La résilience numérique est une notion opérationnelle, à l'échelle de l'entreprise ou de la collectivité : elle mesure la capacité d'une organisation à fonctionner, résister et se rétablir face à un choc ou une défaillance de ses systèmes numériques. L'IRN mesure la résilience, qui contribue à renforcer la souveraineté sans s'y substituer.

Qu'est-ce que le Baromètre de Souveraineté Numérique (BSN) ?

Le BSN est le pendant macroéconomique de l'IRN. Alors que l'IRN fournit un diagnostic individuel par organisation, le BSN agrège les données pour mesurer la dépendance numérique secteur par secteur, à l'échelle nationale. Il alimentera les travaux de l'Observatoire de la souveraineté numérique, permettant d'orienter les politiques publiques et les investissements stratégiques.

Indice de résilience numérique (IRN)

L'Indice de résilience numérique (IRN) est un outil de pilotage stratégique permettant aux entreprises, organisations publiques et collectivités territoriales de mesurer, piloter et réduire leurs dépendances numériques critiques.

Il a été officiellement lancé le 26 janvier 2026 à Bercy lors des premières Rencontres de la souveraineté numérique. L'IRN évalue l'ensemble des vulnérabilités d'une organisation sur ses logiciels, données, infrastructures, actifs technologiques, compétences internes, gouvernance et capacité de résilience aux chocs.

L'initiative est portée par l'association à but non lucratif Digital Resilience Initiative (aDRI) en cours de création, cofondée par David Djaïz (Ascend Partners), Yann Lechelle (Sens Digital) et Arno Pons (Digital New Deal), avec Olivier Sichel, Directeur Général de la Caisse des Dépôts, comme Président d'Honneur. aDRI deviendra en 2026 une AISBL (association internationale sans but lucratif) pour accompagner le déploiement européen et international de l'indice.

Le référentiel méthodologique est publié sous licence Creative Commons (CC BY-NC-ND). Il est donc accessible à toute organisation souhaitant réaliser une auto-évaluation autonome de ses systèmes critiques. L'IRN se veut un référentiel de place, librement utilisable, comparable dans son approche au label B Corp pour la responsabilité sociale des entreprises.
Objectif de l'IRN : remettre la résilience numérique au cœur de la souveraineté européenne.

La création de l'IRN répond à un constat structurel : le coût de la dépendance numérique de l'Europe est estimé à 265 milliards d'euros selon le CIGREF, avec une grande partie des dépenses des entreprises européennes orientées vers des fournisseurs extra-européens, principalement américains. Dans un contexte marqué par l'intensification des risques géopolitiques, technologiques, industriels et réglementaires, l'IRN ambitionne de donner à l'Europe une boussole concrète pour reconquérir son autonomie numérique.

L'IRN ne promeut pas un repli technologique ou une rupture avec les acteurs américains. Son objectif est de rendre les dépendances visibles, assumées et arbitrables : chaque organisation peut continuer à s'appuyer sur les meilleures technologies disponibles, tout en étant capable de diversifier, migrer, renégocier ou activer des clauses de réversibilité si nécessaire.

Cadre réglementaire et juridique lié à l'IRN

L'Indice de résilience numérique s'aligne étroitement sur les réglementations européennes structurantes en matière de numérique, de cybersécurité et de protection des données.

Directive NIS2

L'IRN évalue la capacité technique, organisationnelle et contractuelle d'une organisation à garantir la continuité des services essentiels, en s'appuyant sur des critères tels que la redondance des dispositifs, l'analyse des risques fournisseurs, la localisation souveraine des données et la robustesse des plans de continuité. Dans la chaîne d'approvisionnement numérique, l'IRN oriente la rédaction des clauses contractuelles sur les obligations de cybersécurité imposées aux fournisseurs tiers, aspect directement renforcé par la directive NIS2.

RGPD et protection des données

L'indice intègre l'évaluation de la conformité au RGPD, notamment en ce qui concerne la localisation des données personnelles, les transferts hors de l'Union européenne, la traçabilité des traitements et les mesures de sécurité appliquées aux données sensibles.

Règlement DORA

Le règlement européen sur la résilience opérationnelle numérique du secteur financier (DORA) partage une logique similaire à celle de l'IRN. L'indice s'inspire de cette approche en évaluant la résilience opérationnelle à partir des systèmes critiques de chaque organisation, quel que soit son secteur d'activité.

AI Act et Data Act

L'IRN prend en compte les exigences de l'AI Act en matière de gouvernance des systèmes d'intelligence artificielle (traçabilité, supervision humaine, conformité des données d'entraînement) et celles du Data Act sur la gouvernance et le partage des données.

Complémentarité avec les audits ANSSI

En miroir des audits de conformité menés par l'ANSSI, l'IRN dévoile les angles morts du système d'information, privilégiant une vision transversale indispensable au pilotage de la sécurité. L'indice encourage l'intégration de politiques documentées : procédures de gestion d'incidents, traçabilité des vulnérabilités, formation des agents et adoption de solutions certifiées. L'IRN devient ainsi une pièce à verser au dossier lors de la démonstration, auprès des financeurs ou des autorités, du sérieux d'une démarche en cybersécurité.

Questions fréquemment associées à Indice de résilience numérique (IRN)

: L'IRN comptabilise la part des dépenses consacrées aux logiciels et licences issus de fournisseurs non européens, tout en distinguant les investissements vers le national ou l'européen. Il interroge ensuite la géolocalisation du stockage des données, identifiant celles hébergées hors d'Europe. Au-delà de ces critères quantitatifs, l'indice évalue la capacité de l'organisation à migrer entre fournisseurs, l'existence de clauses de réversibilité contractuelles et le degré d'appui sur des technologies ouvertes (open source, standards ouverts) qui réduisent le risque de vendor lock-in.
: L'IRN a été initié par David Djaïz (Ascend Partners), Yann Lechelle (Sens Digital) et Arno Pons (think tank Digital New Deal). Le projet est porté par l'association aDRI (Digital Resilience Initiative), présidée d'honneur par Olivier Sichel, Directeur Général de la Caisse des Dépôts. L'initiative est soutenue par le Ministère de l'Économie et des Finances, le CIGREF, Numeum, et bénéficie du parrainage ministériel d'Anne Le Hénanff.
: L'IRN structure son évaluation autour de 8 piliers : résilience stratégique (vision tech, gouvernance IT), résilience économique et juridique (conformité RGPD, AI Act, NIS2), résilience data et IA, résilience opérationnelle (continuité d'activité), résilience supply-chain (diversification fournisseurs), résilience technologique (open source, cloud souverain), résilience sécurité (cybersécurité) et résilience environnementale (Green IT, sobriété numérique).
: Non, l'IRN repose sur une démarche volontaire. Aucune obligation réglementaire n'impose son utilisation. Cependant, pour les collectivités soumises à la directive NIS2, au RGPD ou devant démontrer la robustesse de leur cybersécurité auprès de financeurs, l'IRN constitue un outil précieux de pilotage et de preuve de maturité numérique. La note obtenue peut faciliter l'accès à des financements dédiés à la cybersécurité ou à la transition vers des clouds souverains.
: L'IRN s'aligne sur les principales réglementations européennes du numérique. Il évalue la conformité aux exigences de NIS2 (sécurité des réseaux et systèmes d'information), du RGPD (protection des données personnelles), de DORA (résilience opérationnelle numérique du secteur financier), de l'AI Act (encadrement de l'intelligence artificielle) et du Data Act (gouvernance des données). Pour chaque pilier, l'indice identifie les écarts réglementaires et propose des axes d'amélioration.
: Oui. Le référentiel méthodologique est publié sous licence Creative Commons (CC BY-NC-ND), ce qui signifie que toute organisation peut l'utiliser gratuitement pour réaliser une auto-évaluation de ses systèmes critiques. Pour les organisations souhaitant un accompagnement certifié, des cabinets d'audit agréés par aDRI pourront à terme labelliser les évaluations.
: La souveraineté numérique relève du domaine régalien : elle désigne la capacité d'un État à exercer un contrôle sur ses données, ses infrastructures et son espace numérique. La résilience numérique est une notion opérationnelle, à l'échelle de l'entreprise ou de la collectivité : elle mesure la capacité d'une organisation à fonctionner, résister et se rétablir face à un choc ou une défaillance de ses systèmes numériques. L'IRN mesure la résilience, qui contribue à renforcer la souveraineté sans s'y substituer.
: Le BSN est le pendant macroéconomique de l'IRN. Alors que l'IRN fournit un diagnostic individuel par organisation, le BSN agrège les données pour mesurer la dépendance numérique secteur par secteur, à l'échelle nationale. Il alimentera les travaux de l'Observatoire de la souveraineté numérique, permettant d'orienter les politiques publiques et les investissements stratégiques.

Vous souhaitez en savoir plus sur l'eau ?

Découvrir le glossaire

Indice de résilience numérique (IRN)

Description technique de l'Indice de Résilience Numérique

Les 8 piliers de l'IRN

Méthodologie d'évaluation