Nombre de lecteurs : 3

Seul RTE a conduit une évaluation de l’IRN aussi poussée que celle de la Caisse des Dépôts

Le directeur des risques opérationnels du groupe Caisse des Dépôts, Arnaud Martin, a détaillé la méthode mise en œuvre pour mer l’indice de résilience numérique (IRN), un indicateur qui évalue le degré d’autonomie stratégique des organisations.

Qu’est-ce que l’indice de résilience numérique (IRN) ?

Créé par Arno Pons, délégué général du think tank Digital New Deal, l’informaticien Yan Lechelle et David Djaïz, PDG du cabinet de conseil Ascend Partners, l’IRN a été présenté aux Rencontres économiques d’Aix-en-Provence en juillet 2025. Cet indice me les dépendances numériques d’une organisation sur huit aspects : stratégique, économique et juridique, environnemental, opérationnel, technologique, ainsi que sur les données et l’IA, la supply chain et la sécurité.

L’évaluation prend en compte des critères tels que l’interopérabilité des solutions, la nationalité des fournisseurs, la part du budget allouée à ces solutions et la facilité de résiliation des contrats. La Caisse des Dépôts fait partie des premières organisations à avoir mesuré cet indice.

Sur quelle période l’avez-vous mesuré ?

L’évaluation a débuté à la mi-décembre 2025 et a été finalisée à la fin avril 2026. Une équipe dédiée s’est réunie plusieurs fois par semaine, mobilisant une partie significative du temps de travail de certains membres. Des échanges réguliers avec l’association Digital Resilience Initiative (aDRI) ont permis d’affiner le modèle d’évaluation.

Quels acteurs avez-vous mobilisés pour le mer ?

Deux approches existent pour mer l’IRN. La première implique de mobiliser un large éventail d’experts dans chaque domaine à évaluer. La seconde, adoptée par la Caisse des Dépôts, consiste à réunir un petit groupe de personnes clés, expérimentées et ayant une vision transversale. Moins de dix personnes, incluant la directrice de la cybersécurité et le DSI, ont ainsi contribué à cette évaluation.

Vous avez évalué tout le système d’information ?

Non, l’évaluation a porté sur environ 10% du système d’information, se concentrant sur les actifs numériques critiques, soit environ une centaine d’applications. La Caisse des Dépôts a également mesuré le niveau de dépendance des infrastructures de ses data centers, évaluant ainsi environ 200 produits techniques. À ce jour, seules la Caisse des Dépôts et RTE ont réalisé une évaluation de l’IRN aussi approfondie.

Mais quels critères avez-vous retenus pour qualifier une application de critique ?

La Banque centrale européenne et l’Autorité de contrôle prudentiel et de résolution exigent déjà que la Caisse des Dépôts identifie ses applications critiques, conformément au règlement Dora. Cela inclut des applications essentielles, comme celles permettant de réaliser des virements, dont la défaillance pourrait affecter la stabilité du système bancaire français.

Une fois que les actifs numériques critiques ont été identifiés, comment avez-vous procédé à leur évaluation ?

Chaque membre de l’équipe a évalué les actifs numériques selon ses compétences spécifiques, en utilisant des questions fournies par l’IRN. Ces questions permettent de mer chaque actif numérique critique à travers les huit dimensions de l’indice.

Quelles ont été les difficultés rencontrées ?

Des défis ont été identifiés, notamment concernant la dimension de la supply chain, où il est parfois difficile de recueillir des informations sur les fournisseurs au-delà du premier niveau. Des discussions sont en cours avec l’aDRI pour établir des pondérations dans la notation, tenant compte des spécificités de chaque secteur d’activité.

Source : Caisse des Dépôts

Source
Leave a Comment

Comments

No comments yet. Why don’t you start the discussion?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *