DossierSécuriser sa chaîne fournisseurs

5 - Fournisseurs IT : une gestion du risque sous haute surveillance

Parce que, très souvent, elle touche les fondements de l'entreprise, la gestion des risques fournisseurs IT est cruciale. À défaut de pouvoir mettre en place une équipe dédiée en interne, il convient de bien identifier ces risques, très éloignés de l'expertise du Daf, et de les hiérarchiser.

Côté IT, la plupart des PME agissent trop souvent non pas par anticipation, mais une fois le risque réalisé et les dommages causé,s selon les propos recueillis des différents acteurs interrogés. " Pour anticiper, il faudrait mettre en place une équipe projet multidisciplinaire, ­explique Hicham Abbad, directeur associé chez KLB Group, cabinet de conseil spécialisé dans les projets d'achats, supply chain et finances. Ce qui sous-entend des outils, de la formation, du temps, des plans d'action, du suivi et de l'argent. " Une approche qui requiert bien trop de ressources pour un aléa souvent jugé comme faible. Le minimum requis en matière de risques IT ? Identifier !

Obsolescence, gestion des données et risque cascade

Cela démarre dès la négociation : à l'entreprise cliente de s'assurer que " le prestataire effectue les investissements nécessaires, qui vont lui permettre de développer son offre et de suivre l'évolution technologique (rapide) pour apporter aux PME clientes les bonnes réponses ", explique Thierry Gouget, Daf de Wenture, holding de Provadys, société de conseil en management notamment sur la gestion des risques.

Autre singularité de l'univers IT, celle sur la garantie de confidentialité et la sécurité des données⁽¹⁾, qui suscite un certain nombre d'inter­rogations. Quid en effet des données en cas de faillite du fournisseur hébergeur ? Comment faire pour récupérer les référentiels clients, produits, comptabilité, etc. ? Le risque existe non seulement sur les données confiées, mais aussi sur celles qui transitent via les interfaces des solutions d'éditeurs. " L'éventualité d'un risque "cascade" est présente puisque, si l'éditeur CRM disparaît, les connexions avec la partie commerciale et/ou gestion comptabilité n'existent plus ", explique Louis Chavanat, expert en crédit management chez LLBV Management. Pour Thierry Gouget, la solution de rattrapage est toujours possible : " Si cet aspect a été oublié lors de la signature du contrat, il reste envisageable et conseillé de rajouter un avenant. "

Multiplier les contrats et les prestations pour mieux se prémunir d'un risque de rupture dans la chaîne IT ou de défaillance ? Cela revient à multiplier les risques précités. Réduire les prestataires ? Cela augmente la dépendance du client, dans un univers où le remplacement d'un prestataire par un autre à niveau de services équivalent n'est pas chose aisée et impacte bien souvent le coeur de l'activité.

Dépendance, continuité de services et interdépendance

Ce choix, que l'on pourrait qualifier de cornélien, mais qui relève avant tout d'un vrai numéro d'équilibriste, ne doit pas occulter un autre élément : un prestataire IT intervient souvent aux côtés d'autres fournisseurs (éditeur, intégrateur, assistance à maîtrise d'ouvrage, hébergeur, fournisseur télécom, etc.). En cas de défaillance d'un maillon, l'effet domino est imparable.

Il est, toutefois, possible de le circonscrire en menant une réflexion sur la conception de l'architecture informatique, du logiciel dans le cas de développement spécifique, et de l'hébergement ainsi que sur la définition des besoins en bande passante pour les fournisseurs télécoms, etc.

Il convient également de ne pas oublier de définir ce que l'on doit doubler ou non en termes de prestation informatique. Ainsi, dans le cas d'une solution CRM, ERP, etc., la problématique n'est pas de ­doubler le logiciel, mais d'être certain qu'une personne peut assurer la maintenance du soft. De même, ce n'est pas forcément un bon calcul que de payer pour s'assurer d'un doublon en cas d'absence de l'interlocuteur dédié : le risque est souvent minime car géré en interne par le prestataire.

Autre spécificité, celle du "verrouillage" des contrats afin qu'ils soient plus ou moins dépendants entre eux. Dans le cas d'un projet GED, si le fournisseur de la solution disparaît, le client est-il contraint de garder le contrat qui le lie avec le prestataire qui assure le coffre-fort électronique ?

Prendre la mesure des risques

Cette spécificité des risques fournisseurs IT a comme corollaire la nécessité de les cartographier en les quantifiant et les hiérarchisant. " Les risques ne se valent pas, il convient de les identifier en fonction de leur importance ", conseille Thierry Gouget (Wenture). Une approche essentielle lorsque l'activité de l'entreprise repose en grande partie sur son SI.

Ces fournisseurs, évoqués dans ce cas comme "critiques", mettent en péril le fonction­nement d'une société si les serveurs de cette dernière tombent en panne par exemple. Pour une banque, ce risque est considéré comme une priorité absolue. Même constat pour un site e-commerce pour lequel le serveur de base de données ou le débit de bande passante doivent être constamment disponibles.

Piloter les risques préalablement établis en investissant dans les outils adéquats illustre aussi l'univers IT. Le processus de gestion des risques passe par la mise en place de formations et d'investissements en fonction d'un budget, sans oublier d'y intégrer le ROI qui peut, ici, trivialement se traduire par "limiter la casse". " C'est le principe de l'assurance : il vaut mieux payer plus cher un projet de gestion de risque puisque ça permet d'être mieux couvert en cas de pépins ", conclut Hicham Abbad (KLB Group).

(1) Pour plus d'informations sur la sécurité des données, vous pouvez consulter le dossier Les outils pour bien gérer les documents et données.