Par Stéfan Rother, Executive Director, Senior Leadership Nagarro Global (Managed Services)
Le 28 avril 2025, une panne électrique massive plongeait l’Espagne, le Portugal et le sud de la France dans le noir… Un incident qui rappelle à quel point les systèmes d’information demeurent vulnérables aux aléas physiques… Mais pas seulement ! Turbulences géopolitiques internationales, explosion de la cybercriminalité, flambée des prix, ruptures d’approvisionnement, taxes douanières ou guerres commerciales : les menaces ne viennent plus uniquement de l’intérieur du SI. Elles frappent aussi depuis l’extérieur, de façon diffuse, globale, et parfois imprévisible. Et si demain, cette rupture concernait vos données, vos services critiques ? Limiter les dépendances est devenu une mission vitale pour les DSI, sous peine de voir un maillon non maîtrisé se transformer en point de rupture et compromettre la continuité d’activité. La résilience IT ne dépend plus seulement de la qualité de l’architecture. Et cela ne s’improvise pas.
1. Comprendre les nouvelles règles du jeu géopolitique
Pour les DSI, les secousses géopolitiques ne sont plus un enjeu lointain : elles ont désormais des répercussions directes sur les infrastructures IT. Prix des services cloud qui s’envolent, dépendances contractuelles soumises à des lois extraterritoriales, risques accrus de coupures d’accès ou de dégradation de service… Des signaux qui dessinent un nouvel environnement.
Ces pressions, qu’elles soient économiques, politiques ou énergétiques, montrent combien l’IT reste interconnectée à son environnement global. Héberger ses données en Europe ne suffit pas toujours : de nombreux data centers appartiennent à des groupes étrangers soumis à d’autres juridictions (Equinix, e-Shelter, Interxion…), exposant les entreprises à des décisions politiques prises bien au-delà de leurs frontières.
2. Identifier ses dépendances invisibles : la cartographie exhaustive
Avant d’imaginer une quelconque stratégie de résilience, le premier enjeu pour le DSI est de connaître ses dépendances réelles. Cela va bien au-delà de lister ses fournisseurs directs : il s’agit de cartographier l’ensemble de la chaîne IT, jusqu’aux composants les plus discrets (API, services cloud tiers, licences, géolocalisation des ressources…).
Des outils comme LeanIX et Signavio (SAP) permettent d’associer une cartographie des systèmes IT à celle des processus métiers, révélant les liens entre chaque brique technologique et ses usages. Une approche croisée essentielle pour :
- Visualiser les points de vulnérabilité (fournisseurs uniques, contrats extraterritoriaux, composants non redondants).
- Évaluer les risques selon leur criticité métier (un ERP ne doit pas être traité comme une application secondaire).
- Prendre en compte les dépendances contractuelles, souvent sous-estimées.
Cette cartographie étendue doit s’appuyer sur une vision croisée des systèmes IT et des processus métiers, afin de déterminer quels actifs sont critiques et exposés. Elle va bien au-delà des préoccupations classiques de haute disponibilité : il s’agit ici de penser l’impensable. Quels scénarios de rupture, même extrêmes ou improbables, pourraient déséquilibrer l’ensemble de l’organisation ?
Le risque est de se limiter à une vision technique, sans voir les zones grises contractuelles ou géopolitiques qui menacent l’équilibre global. Une cartographie sans angles morts est donc, très clairement, la première pierre d’une stratégie de résilience efficace.
3. Redondance, hybridation : trouver le juste équilibre
Il faut ensuite mettre en place des mécanismes pour en limiter l’impact des dépendances critiques. Mais attention à ne pas tomber dans la surenchère : trop de redondance tue la résilience ! Complexifier à outrance son architecture peut générer des risques supplémentaires.
Une approche pragmatique passe souvent par le multi-cloud : répartir les charges entre plusieurs fournisseurs (AWS, Azure, Google Cloud…) permet de limiter une dépendance exclusive. Mais il s’agit aussi de hiérarchiser les systèmes : toutes les applications n’ont pas besoin du même niveau de redondance.
L’hybridation combine quant à elle des ressources sur site (ou data centers privés) et dans le cloud public. Idéal pour maintenir les systèmes critiques (ERP, bases de données sensibles) sous contrôle, tout en bénéficiant de la flexibilité du cloud.
Enfin, dans un contexte géopolitique tendu, il peut être pertinent de réactiver des pratiques anciennes, comme la réplication asynchrone entre sites très éloignés (par exemple entre l’Europe et l’Amérique du Nord). Cette méthode, bien que moins performante que la synchronisation immédiate, offre une protection géographique accrue face aux risques régionaux. Certaines entreprises du secteur pharmaceutique, par exemple, adoptent déjà cette stratégie pour assurer la continuité de leurs données entre continents.
4. Investir dans la prévention : le rôle clé du SIEM
La prévention reste le meilleur rempart face à l’imprévisible. Trop souvent, les DSI se concentrent sur l’opérationnel, et repoussent l’analyse des risques à plus tard… jusqu’à l’incident.
Des solutions de Security Information and Event Management (SIEM) permettent d’anticiper les anomalies dans les systèmes IT en croisant et analysant les flux d’événements. Mais au-delà des outils, c’est un état d’esprit proactif qui doit prévaloir : revoir ses contrats fournisseurs tous les six mois, intégrer les évolutions du contexte géopolitique, s’assurer de la viabilité énergétique de ses infrastructures… Parce que la prévention ne se limite pas à la cybersécurité !
5. Gouvernance élargie : quand le DSI devient chef d’orchestre
Piloter les dépendances critiques ne relève plus uniquement de la DSI. Cette démarche implique également les achats, le juridique, la gestion des risques… voire la direction générale. Les problématiques liées aux contrats, aux fournisseurs, ou encore à l’usage de technologies émergentes (IA générative, etc.) nécessitent une gouvernance élargie, fondée sur une culture commune du risque. Des politiques internes (RGPD, souveraineté des données, limitations d’usage) doivent par exemple être développées, sous peine de dérives.
Dans ce cadre, certaines entreprises envisagent le cloud souverain comme un levier de maîtrise supplémentaire. Mais attention à ne pas en faire une réponse systématique : si le cloud souverain peut constituer une brique pertinente d’un modèle hybride, il ne couvre pas l’ensemble des besoins. La majorité des applications s’appuient sur des systèmes d’exploitation ou des composants non souverains (comme Linux ou Windows), et seul un équilibre global entre flexibilité et sécurité permet une vraie résilience.
Faire de la résilience une culture
Aujourd’hui, les DSI ne peuvent plus se contenter de piloter leurs systèmes à travers le prisme de la performance ou de la disponibilité immédiate. La résilience face aux chocs externes devient une responsabilité centrale, et requiert une agilité et une vigilance permanentes. Car les ruptures ne préviennent pas, et surgissent là où on ne les attend pas. D’une tension géopolitique, d’un contrat mal verrouillé, d’une panne venue de l’autre bout du réseau, d’un maillon faiblement surveillé… Le DSI est désormais le stratège de la continuité d’activité et du pilotage des risques au sens large. Cartographier les dépendances, surveiller les signaux faibles ou encore tester les scénarios critiques ne relève plus de l’exceptionnel, mais du quotidien.
Préparer son système d’information, c’est bâtir une matrice de risques évolutive, intégrer la prévention dans les processus, et tester régulièrement les scénarios critiques. Dans ce jeu d’équilibres globaux où la moindre faille locale peut résonner à l’échelle mondiale, la meilleure défense restera toujours l’anticipation.
