À grand renfort d'arsenaux réglementaires (NIS2, DORA, RGPD), les organisations contemporaines érigent des sanctuaires juridiques pour se protéger des menaces cyber. Mais en confondant sécurité normative et résilience stratégique, la gouvernance moderne reproduit l'illusion de la ligne Maginot : une fortification irréprochable face aux crises d'hier, impuissante face aux ruptures asymétriques de demain.
En 1940, la France se croyait invincible derrière la ligne Maginot. C’était une fortification moderne, coûteuse, conforme en tout point aux manuels militaires et aux doctrines de l'époque. On connaît la suite : l'adversaire n'a pas attaqué la ligne en face ; il l'a contournée en investissant les Ardennes, une zone pourtant jugée impraticable par l'état-major.
Près d'un siècle plus tard, les comités exécutifs de nos plus grandes entreprises et les directions de nos institutions publiques reconstruisent, face au miroir numérique, la même illusion de sécurité. Son nom moderne ? Le conformisme réglementaire.
NIS2, DORA, RGPD, ISO 27001... Jamais les organisations n'ont été soumises à autant d'exigences en matière de sécurité immatérielle. Cette évolution est légitime : elle contribue à diffuser des standards communs et à élever le niveau général de maturité périphérique. Cependant, sous l'effet d'une culture de la conformité devenue parfois une fin en soi, les conseils d'administration se rassurent aujourd'hui devant des indicateurs au vert. Pourtant, l'asymétrie de la menace n'a jamais été aussi redoutable.
L'illusion du sanctuaire réglementaire
Comme la ligne Maginot en son temps, le sanctuaire réglementaire rassure davantage qu'il ne protège. La conformité est, par nature, une science du rétroviseur. Elle codifie les risques connus, normalise les réponses face aux crises d'hier et encadre les comportements prévisibles. En somme, elle gère l'ordre établi. La souveraineté, quant à elle, répond à une logique de liberté d'action. Si les deux notions sont complémentaires, elles ne poursuivent pas le même objectif.
Les acteurs hostiles — qu'il s'agisse de puissances étatiques rivales ou de prédateurs cybercriminels — n’obéissent pas à nos grilles d'audit. Leur stratégie consiste précisément à contourner la norme pour investir les angles morts de nos architectures : les dépendances invisibles, les concentrations excessives d'infrastructures Cloud transfrontalières, et les asymétries de souveraineté contractuelle. Une organisation parfaitement conforme peut donc tout à fait demeurer structurellement vulnérable.
Il est temps de substituer à la logique de protection absolue une logique de continuité et de résilience. Le numérique a définitivement quitté la sphère technique pour devenir le cœur de la dialectique de la puissance. Car la question centrale n'est plus celle de la protection des systèmes. Elle est celle du contrôle des dépendances qui conditionnent notre liberté d'action. Cette distinction devient essentielle dans un environnement où les infrastructures numériques ne soutiennent plus l'économie : elles en constituent désormais l'ossature même. Dès lors que l'on extrait le risque de sa dimension purement informatique, trois failles doctrinales apparaissent au grand jour.
Trois vulnérabilités systémiques
Dès lors que l'on extrait le risque de sa dimension purement informatique, trois failles doctrinales apparaissent au grand jour :
- L’opacité des chaînes de valeur technologiques : L'enchevêtrement des dépendances logicielles et des micro-services tiers rend invisible le véritable maître des clés de nos systèmes de décision.
- L'asymétrie des temporalités : Une désynchronisation profonde paralyse la riposte ; les marchés raisonnent au trimestre, les régulateurs en années, et les adversaires en temps réel.
- Le dogme de l'invulnérabilité passive : L'erreur consiste à croire qu'un périmètre fortifié suffit, alors que l'interconnexion moderne impose de penser la survie et le pilotage en mode dégradé.
Au-delà des référentiels : la maîtrise des dépendances
La conformité demeure nécessaire, mais elle n'est qu'un point de départ. Une stratégie de souveraineté commence là où les référentiels s'arrêtent : dans la compréhension, la cartographie et la maîtrise de nos dépendances critiques.
Gouverner, c'est prévoir. À l'ère numérique, prévoir ne consiste plus à accumuler les certificats de conformité, mais à bâtir de manière pragmatique les conditions industrielles, politiques et intellectuelles de notre autonomie future.
« Au XXIe siècle, la souveraineté ne se perd pas par conquête : elle s'érode par dépendance. »
Pour prolonger la réflexion :
Cet article constitue une introduction aux réflexions développées dans la tribune « L'empire des dépendances : la souveraineté à l'épreuve du numérique », consacrée aux mécanismes de dépendance qui redessinent les rapports de puissance au XXIe siècle.