IRN : diagnostiquez la dépendance SaaS de votre PME

Le 26 janvier 2026, Bercy a lancé l’Indice de Résilience Numérique (IRN) lors des premières Rencontres de la souveraineté numérique. Derrière ce nom institutionnel se cache un outil concret : un cadre pour mesurer jusqu’à quel point vos outils SaaS pourraient vous laisser sans recours si un fournisseur augmente ses tarifs, change ses conditions, ou disparaît.

Pour les dirigeants de PME, la question n’est pas théorique. Environ 24 % des entreprises n’ont aucune stratégie de sortie cloud, et 41 % disposent de plans de sortie mais sans droits d’accès effectif à leurs propres données. Ce guide transforme le cadre de Bercy en auto-diagnostic utilisable dès aujourd’hui.

Pourquoi Bercy s’est saisi de votre stack SaaS

La dépendance technologique envers des fournisseurs extra-européens est devenue un risque opérationnel mesurable — pas seulement un enjeu de souveraineté abstraite.

Trois facteurs ont accéléré la prise de conscience en 2025-2026.

La hausse des coûts cloud. Les dépassements de budget liés aux abonnements SaaS atteignent en moyenne +17 % par rapport aux prévisions initiales. Les clauses de révision tarifaire, souvent unilatérales, exposent les PME à des augmentations sans préavis réel.

Le Cloud Act américain. Toutes les données hébergées chez un fournisseur américain — même sur des serveurs européens — restent potentiellement accessibles aux autorités américaines sur simple demande. Ce n’est plus une nuance juridique mais une réalité contractuelle.

La Loi Résilience (transposition NIS2). Attendue au premier semestre 2026, elle étend les obligations de cybersécurité à 15 000-18 000 entités en France. Les PME sous-traitantes de secteurs réglementés sont directement dans le périmètre. Les sanctions peuvent atteindre 10 millions d’euros.

L’IRN répond à ce contexte en donnant aux dirigeants un langage commun pour évaluer et piloter leurs dépendances — avant qu’un fournisseur ou un régulateur ne force la main.

L’IRN en 5 minutes : 3 blocs et 20 critères

L’IRN a été conçu par David Djaïz, Yann Lechelle et Arno Pons, sous licence Creative Commons. C’est un outil volontaire que chaque organisation peut s’approprier librement.

Le score va de 0 à 100 points, calculé à partir de 20 critères notés de 0 à 5, répartis en trois blocs.

Bloc 1 — Stratégie & Business : exposition aux décisions unilatérales de vos fournisseurs (dépendances juridictionnelles, clauses de sortie, concentration des fournisseurs).

Bloc 2 — Sécurité & Technologie : capacité à fonctionner si un fournisseur est indisponible (PCA, PRA testés, sécurité des données). Avez-vous déjà simulé l’arrêt de votre CRM pendant 4 heures ?

Bloc 3 — Gouvernance : maîtrise effective de vos dépendances (cartographie des outils critiques, compétences internes pour migrer, gouvernance des données). C’est souvent le bloc le plus faible dans les PME — non par négligence, mais par manque de temps pour documenter.

Pour approfondir la question du choix entre hébergement maîtrisé et solutions tierces, notre analyse sur les alternatives entre hébergement propre et cloud vous donnera un cadre complémentaire.

Les 5 signaux d’une dépendance SaaS critique

Avant même de calculer un score IRN, certains signaux révèlent une vulnérabilité immédiate. Si vous en identifiez trois ou plus, votre résilience est probablement faible.

Signal 1 — Un seul fournisseur pour une fonction vitale. Facturation, messagerie, ERP : si un arrêt de service entraîne l’arrêt de l’activité, vous êtes en situation de single point of failure.

Signal 2 — Vos données ne vous appartiennent pas vraiment. Pouvez-vous exporter l’intégralité de vos données clients en moins d’une heure dans un format lisible hors de l’outil ? Si non, votre portabilité est nulle.

Signal 3 — Vous n’avez pas de plan de sortie documenté. Un plan de sortie comporte quatre éléments : alternative identifiée, coût de migration estimé, délai réaliste, compétences disponibles. Sans ces quatre éléments, vous avez une intention, pas un plan.

Signal 4 — Vos coûts SaaS augmentent sans contrôle. Une révision tarifaire à +25 % avec 30 jours de préavis laisse peu d’options si aucune alternative n’est prête. Le prix est un mécanisme de dépendance aussi efficace que le verrouillage technique.

Signal 5 — Vous utilisez des services propriétaires profonds. Fonctions serverless spécifiques, bases de données sans équivalent open source, pipelines IA liés à un écosystème : ces choix créent une dette de migration invisible qui s’accumule dans le temps. Et même l’open source n’est pas sans risque : le cas MinIO illustre comment un changement de licence peut transformer un outil gratuit en impasse.

Auto-diagnostic : votre PME en 10 questions

Répondez avec 0 (non), 1 (partiellement) ou 2 (oui). Total sur 20 points.

Bloc Stratégie & Business

1. Pouvez-vous lister vos 10 outils SaaS principaux et leur coût annuel exact ?
2. Vos contrats incluent-ils des clauses de portabilité et de réversibilité explicites ?
3. Avez-vous une alternative opérationnelle identifiée pour chacun de vos outils critiques ?
4. Moins de 50 % de votre budget logiciel est-il concentré sur un seul fournisseur ?

Bloc Sécurité & Technologie

5. Disposez-vous d’un PCA testé au cours des 12 derniers mois ?
6. Pouvez-vous exporter l’intégralité de vos données en format standard (CSV, JSON) en moins d’une heure ?
7. Vos données critiques sont-elles sauvegardées dans un emplacement que vous contrôlez directement ?

Bloc Gouvernance

8. Avez-vous une cartographie documentée de vos dépendances numériques ?
9. Votre équipe ou un prestataire identifié peut-il effectuer une migration en cas d’urgence ?
10. Avez-vous revu vos contrats SaaS principaux au cours des 18 derniers mois ?

Interprétation :

• 16-20 points : Bonne résilience — travaillez les points notés 1
• 10-15 points : Résilience modérée — deux ou trois chantiers prioritaires à engager
• 0-9 points : Dépendance critique — commencez par la cartographie et les plans de sortie

Lorsque la question de réduire les abonnements SaaS se pose concrètement, notre guide sur les outils internes versus SaaS du marché vous aidera à identifier les seuils où le développement sur mesure devient plus rentable.

Trois leviers pour améliorer votre score

L’objectif n’est pas de sortir du cloud. Il s’agit de reprendre le contrôle progressivement, sur les dépendances qui comptent vraiment.

Levier 1 — Cartographiez avant de migrer. Listez chaque outil critique, son coût annuel et le temps d’arrêt tolérable pour votre activité. Ce seul exercice révèle deux ou trois dépendances non anticipées et constitue la base du Bloc Gouvernance dans l’IRN.

Levier 2 — Formalisez un plan de sortie pour chaque outil critique. Pour vos trois ou quatre outils les plus importants, rédigez une fiche qui précise : l’alternative, le coût de migration, le délai, et les compétences nécessaires. Ce document n’a pas besoin d’être parfait — il doit exister.

Levier 3 — Exigez la portabilité dans vos contrats. À chaque renouvellement, ajoutez trois exigences : export en format standard, accès aux données 90 jours après résiliation, absence de frais de migration prohibitifs. Ces clauses sont négociables, surtout sur les engagements annuels.

Conclusion

L’IRN de Bercy n’est pas un audit de conformité supplémentaire. C’est un cadre pragmatique pour mesurer votre exposition réelle si l’un de vos fournisseurs SaaS change les règles du jeu demain.

Trois actions à engager cette semaine : lister vos dix outils SaaS critiques avec leurs coûts, identifier les deux ou trois dont vous ne pouvez pas vous passer, et vérifier si vous pouvez exporter vos données depuis chacun d’eux. Ce premier diagnostic prend moins d’une heure.

Si vous souhaitez structurer cette démarche avec un accompagnement adapté aux contraintes des PME, LeCollectif peut vous aider à cartographier vos dépendances et à bâtir des plans de sortie réalistes.