Résilience des SI : au-delà de la continuité d’activité, un impératif stratégique

Sommaire

---

1. Quand l’instabilité devient une donnée de base des SI
2. Construire des SI résilients en réduisant les dépendances structurelles
3. L’homéostasie du SI : piloter des tensions permanentes

---

Les systèmes d’information sont le système nerveux de l’entreprise. Leur défaillance est une certitude statistique que chaque organisation doit anticiper. Retour sur une approche écosystémique de la résilience, ancrée dans la réalité opérationnelle.

Quand l’instabilité devient une donnée de base des SI

Le terme résilience, issu du latin resilire (« rebondir »), a profondément irrigué la psychologie clinique avant d’atteindre le monde de l’entreprise. Dans les neurosciences modernes, il désigne un ensemble de processus dynamiques et continus de reconfiguration. Le cerveau n’est jamais identique après un choc : il s’adapte, crée de nouvelles connexions, en supprime d’autres.

Les systèmes d’information obéissent à une logique analogue. La question est de savoir comment structurer ces SI aux conditions d’une adaptation continue au changement.

Trois catégories de chocs imposent aujourd’hui cette évolution. Les chocs économiques d’abord : les décisions unilatérales d’éditeurs peuvent transformer les modèles de coûts du jour au lendemain. Le cas VMware/Broadcom en est l’illustration la plus récente, mais Microsoft, Oracle ou Atlassian ont tous procédé à des révisions tarifaires significatives. Les défaillances cloud : malgré les promesses d’élasticité et de disponibilité des hyperscalers, les « status pages » de ces services enregistrent des incidents presque chaque mois. Ce phénomène rappelle que toute infrastructure repose sur du matériel physique et des équipes humaines , faillibles par nature. Les cyberattaques enfin, dont l’industrialisation s’est accélérée avec la montée en puissance des cryptomonnaies et des places de marché du Dark Web, qui ont rationalisé l’offre et la demande de services malveillants.

Ces facteurs de stress quant à la défaillance du SI sont récurrents et systémiques. Ils reflètent l’évolution des politiques nationales et internationales.

Construire des SI résilients en réduisant les dépendances structurelles

La résilience mesure la capacité d’un système à s’adapter, elle repose sur deux prérequis fondamentaux. D’abord, la liberté de changement demeure dans le fait de pouvoir modifier ses choix technologiques, architecturaux, partenariaux. Ensuite, nous retrouvons aussi la capacité d’auto-détermination, conserver un pouvoir de décision stratégique hors de toute dépendance structurelle.

C’est précisément à cette intersection que se joue la souveraineté des systèmes. Au-delà du sens géopolitique du terme (même si les enjeux nationaux existent), au niveau de la gouvernance de l’entreprise et de son autonomie opérationnelle.

« Un système excessivement dépendant d’un fournisseur peut en venir à l’enfermer dans la stratégie de ce fournisseur, l’exposant à une vassalisation technologique incompatible avec l’évolution de ses besoins métiers. »

La souveraineté ne s’oppose pas à la collaboration ni à l’externalisation. Elle conditionne que ces interconnexions restent des choix délibérés et non des contraintes subies. Sans cette liberté de choix, il n’est pas de résilience au sens plein du terme.

L’homéostasie du SI : piloter des tensions permanentes

Sur le plan opérationnel, maintenir la résilience d’un SI suppose de gérer en continu des tensions apparemment antagonistes :

• Coût vs flexibilité

La diversification des fournisseurs et des solutions est inflationniste à court terme, mais protège la liberté d’évolution à moyen terme.

• Standardisation vs diversification

La standardisation simplifie la gestion mais génère des dépendances ; la diversification les prévient mais complexifie les opérations.

• Efficience vs réversibilité

La solution la plus optimisée aujourd’hui peut devenir la prison de demain. Plus l’intégration avec un écosystème est profonde, plus il est difficile d’en extraire un composant.

Principe clé : Ces tensions ne se résolvent jamais définitivement. Elles se pilotent en continu, dans une démarche d’homéostasie technique, opérationnelle et organisationnelle.

Cette homéostasie s’articule autour de trois dimensions complémentaires. La dimension technique implique une architecture modulaire, des standards ouverts et des tests réguliers d’efficience. La dimension opérationnelle requiert des processus de gestion fournisseurs, des protocoles de réversibilité éprouvés et l’intégration des cadres réglementaires comme leviers (NIS2, DORA, LPM). La dimension organisationnelle, souvent la plus complexe, nécessite des compétences polyvalentes, une culture de la diversité et un droit à l’erreur qui permette l’apprentissage continu.

Trois leviers pour opérationnaliser la démarche

Dans une approche pragmatique, trois leviers se distinguent pour concrétiser cette stratégie de résilience :

1. Les compétences

Premier levier à activer en raison de son délai de mise en œuvre, il conditionne les deux autres. Il s’agit notamment de développer la maîtrise de technologies multi-opérateurs (cloud, automatisation), d’améliorer la documentation des dépendances et d’acculturer les équipes à la gestion contractuelle fournisseur. Le changement, rappelle-t-on, « s’ouvre de l’intérieur » : identifier les relais internes du changement est souvent plus efficace qu’une transformation descendante.

2. La gouvernance de la donnée

Ce chantier commence par une taxonomie et une cartographie des données sensibles, puis se prolonge par des politiques de chiffrement, la contractualisation de la localisation des données et la définition de conditions de réversibilité réalistes. Il intègre également les exigences des cadres réglementaires applicables : SecNumCloud, RGPD, NIS2, DORA, ou obligations sectorielles spécifiques.

3. La maîtrise contractuelle

Dimension souvent négligée, elle englobe la négociation systématique de clauses de réversibilité, la diversification des fournisseurs et sous-traitants sur les services critiques, et une gouvernance active des dépendances stratégiques. Une veille structurée sur les évolutions tarifaires et contractuelles des éditeurs clés est indispensable pour anticiper les changements.

Une démarche itérative, pas un projet à date de fin

La mise en œuvre de cette stratégie s’inscrit dans un cycle itératif : diagnostic des dépendances et lock-in existants, expérimentation sur des périmètres limités (avec mesure des gains : temps de reprise, prévisibilité des coûts, rapidité d’acquisition de nouvelles postures), puis déploiement progressif des pratiques éprouvées.

Il n’existe pas de « solution universelle » de résilience. Chaque organisation a ses contraintes métier propres, son historique décisionnel, sa culture d’entreprise et des niveaux de maturité variables selon les domaines. Le droit à l’erreur, et la capacité d’en tirer des apprentissages, est l’un des piliers de cette démarche.

La résilience n’est donc pas une finalité, mais le chemin vers plus de pérennité. Dans un monde interconnecté, la souveraineté est le cadre d’une collaboration mesurée et équilibrée pour une innovation durable. La dichotomie est simple : les organisations qui structurent cette capacité construisent leur avenir ; les autres le subissent.