Pendant longtemps, l’IT a surtout été abordée sous l’angle de la performance : mieux travailler, automatiser, sécuriser les accès, fluidifier les usages, réduire les coûts.
En 2026, cette vision ne suffit plus.
Les tensions géopolitiques, la montée des cybermenaces, les nouvelles exigences réglementaires européennes et les débats autour de la souveraineté numérique changent profondément la manière dont les entreprises doivent penser leur système d’information.
Aujourd’hui, une infrastructure IT n’est plus seulement un outil de productivité. C’est un actif stratégique, exposé à des dépendances techniques, juridiques, économiques et géopolitiques.
L’IT est devenue un sujet de dépendance stratégique
Une entreprise ne fonctionne plus uniquement avec ses propres serveurs, ses propres logiciels ou ses propres équipes internes.
Elle dépend d’un écosystème beaucoup plus large : hébergeurs, solutions cloud, fournisseurs logiciels, prestataires IT, outils collaboratifs, télécommunications, centres de données, composants matériels, services externalisés, partenaires métiers.
Cette interconnexion apporte de la puissance et de la flexibilité, mais elle crée aussi une nouvelle réalité : une décision, une crise ou une rupture située en dehors de l’entreprise peut avoir un impact direct sur son activité.
Un service indisponible, une chaîne d’approvisionnement perturbée, un fournisseur exposé, une contrainte réglementaire nouvelle ou une tension internationale peuvent rapidement devenir des sujets opérationnels très concrets : accès aux données, continuité d’activité, conformité, sécurité, capacité à travailler.
C’est pourquoi la question n’est plus seulement : “Est-ce que notre IT fonctionne ?”
La vraie question devient : “Notre IT est-elle résiliente face à un contexte instable ?”
La menace cyber dépasse le simple cadre technique
Les cyberattaques ne sont plus uniquement le fait d’acteurs isolés cherchant à exploiter une faille technique.
Les autorités européennes et françaises observent une menace plus diffuse, plus structurée et plus difficile à lire. Les frontières entre cybercriminalité, hacktivisme et acteurs liés à des intérêts étatiques deviennent parfois moins nettes.
Pour les entreprises, cela change l’approche du risque.
Il ne s’agit pas forcément d’être une cible directe pour être concerné. Une organisation peut être touchée parce qu’elle appartient à un secteur sensible, parce qu’elle travaille avec un acteur exposé, parce qu’elle utilise une solution compromise, ou simplement parce qu’elle se trouve dans une chaîne de dépendance numérique.
C’est un changement majeur : la cybersécurité ne protège plus seulement contre “une attaque informatique”. Elle protège aussi la capacité de l’entreprise à continuer d’opérer dans un environnement numérique instable.
La souveraineté numérique devient un critère de décision
La souveraineté numérique ne signifie pas se fermer au monde ou rejeter toute solution internationale.
Elle consiste plutôt à savoir précisément où sont les dépendances critiques de l’entreprise, quelles lois peuvent s’appliquer à ses données, qui contrôle réellement ses infrastructures, quelles garanties existent en cas de crise, et quelles alternatives sont possibles si un service devient indisponible.
Ce sujet devient particulièrement important pour les données sensibles, les activités critiques, les secteurs réglementés, les organisations publiques ou les entreprises dont l’activité dépend fortement de la disponibilité de leurs outils numériques.
Concrètement, une entreprise doit pouvoir répondre à plusieurs questions simples :
Où sont hébergées nos données les plus critiques ?
Qui peut y accéder, techniquement ou juridiquement ?
Que se passe-t-il si un fournisseur stratégique devient indisponible ?
Avons-nous une solution de repli ?
Nos sauvegardes sont-elles réellement exploitables ?
Nos contrats prévoient-ils des garanties suffisantes en matière de sécurité, de localisation, de réversibilité et de continuité ?
Ce sont des questions IT, mais aussi des questions de gouvernance.
Les réglementations renforcent cette logique de résilience
Avec NIS 2, le Cyber Resilience Act et les référentiels nationaux associés, l’Union européenne pousse les organisations à sortir d’une cybersécurité purement déclarative.
L’objectif n’est plus seulement de “mettre en place des outils”, mais de démontrer une capacité réelle à identifier les risques, sécuriser les actifs, superviser les accès, gérer les fournisseurs, préparer la crise et assurer la continuité.
Cela signifie que les entreprises doivent davantage structurer leur sécurité autour de processus durables :
cartographie des actifs numériques ;
classification des données et des applications critiques ;
gestion des droits et des identités ;
analyse des risques fournisseurs ;
plan de continuité et de reprise d’activité ;
supervision des événements de sécurité ;
tests réguliers des sauvegardes ;
procédures de gestion de crise ;
sensibilisation des collaborateurs.
La conformité devient donc un levier d’organisation. Elle oblige à clarifier ce qui est critique, ce qui est exposé, ce qui est maîtrisé et ce qui ne l’est pas encore.
Ce que cela change concrètement pour les directions IT
Face à ces enjeux, les entreprises doivent faire évoluer leur manière de piloter leur IT.
Première évolution : passer d’une logique d’outil à une logique de risque.
Une solution ne doit plus être évaluée uniquement selon son prix ou ses fonctionnalités, mais aussi selon son niveau de sécurité, sa localisation, sa dépendance à d’autres services, sa capacité de réversibilité et son impact sur l’activité en cas d’incident.
Deuxième évolution : mieux connaître ses dépendances.
Beaucoup d’organisations savent quels logiciels elles utilisent, mais beaucoup moins quelles dépendances techniques se cachent derrière ces logiciels : hébergement, sous-traitants, API, comptes administrateurs, flux de données, interconnexions, prestataires secondaires.
Or, en période d’instabilité, ce sont souvent ces dépendances invisibles qui deviennent les points faibles.
Troisième évolution : intégrer la continuité dès la conception.
La résilience ne se construit pas uniquement après un incident. Elle doit être pensée en amont : architecture, sauvegardes, redondance, procédures, rôles, responsabilités, scénarios de crise, tests de restauration.
Une sauvegarde jamais testée n’est pas une garantie. Un plan de reprise jamais simulé reste théorique. Une procédure de crise jamais partagée devient difficile à appliquer lorsque la pression monte.
Quatrième évolution : rapprocher IT, direction générale et métiers.
Les décisions liées à l’IT ne peuvent plus rester isolées dans une logique purement technique. Elles touchent à la continuité commerciale, à la relation client, à la conformité, à la réputation et parfois à la responsabilité de l’entreprise.
La direction générale doit donc comprendre les arbitrages : quels risques sont acceptables ? Quelles activités doivent redémarrer en priorité ? Quelles données sont les plus sensibles ? Quels investissements sont nécessaires pour réduire les dépendances critiques ?
Une nouvelle maturité IT à construire
Les enjeux géopolitiques ne signifient pas que chaque entreprise doit revoir toute son infrastructure du jour au lendemain.
Ils imposent plutôt une nouvelle maturité : mieux connaître son système d’information, mieux prioriser ses risques, mieux choisir ses partenaires, mieux documenter ses dépendances et mieux préparer les scénarios de rupture.
L’enjeu n’est pas d’avoir une IT parfaite. L’enjeu est d’avoir une IT lisible, maîtrisée et capable de résister.
Dans ce contexte, le rôle d’un partenaire IT n’est pas seulement d’installer, maintenir ou sécuriser des outils. Il est aussi d’aider les entreprises à prendre du recul, à identifier leurs points de fragilité et à transformer des risques complexes en décisions concrètes.
Conclusion
Oui, les enjeux géopolitiques changent la manière dont les entreprises pensent leur IT.
Parce que le numérique est désormais au cœur de l’activité, les dépendances technologiques deviennent aussi des dépendances économiques, juridiques et stratégiques.
Pour les entreprises, la priorité n’est donc plus seulement de “faire fonctionner” le système d’information.
La priorité est de construire une IT plus résiliente, plus souveraine dans ses choix, plus transparente dans ses dépendances et plus alignée avec les risques réels de l’organisation.
La bonne question à se poser n’est plus : “Sommes-nous concernés par ces enjeux ?”
Mais plutôt : “Savons-nous exactement de quoi dépend notre activité, et sommes-nous prêts si l’un de ces maillons devient fragile ?”
