Stratégie

Disparition d'un fournisseur de la DSI : 3 questions pour bien s'y préparer

La DSI doit se préparer à la défaillance soudaine d'un fournisseur de technologies, en anticipant des plans de sortie. (Photo : Bernard Hermant/Unsplash)

La faillite ou le rachat d'un fournisseur de technologies ou de services peut avoir de graves impacts sur une DSI. Et, partant, sur l'activité de l'entreprise. Pour y faire face, il faut une capacité de réaction rapide, mais aussi avoir anticipé ce type de déconvenue.

PublicitéDans le paysage technologique en constante évolution, les interruptions de service et les disparitions d'entreprises sont plus fréquentes que ne le souhaiteraient les DSI. Il arrive qu'un fournisseur propose une solution basée sur une technologie qui devient rapidement obsolète, ou qu'il ne réagisse pas assez vite lorsqu'une solution plus prometteuse émerge. Ou encore qu'une solution prometteuse disparaisse faute de convaincre le marché à temps pour assurer la survie de la jeune société qui la porte. Selon la société de gestion de capital Carta, au premier trimestre 2024, les faillites de startups ont augmenté de 58 % par rapport à la même période en 2023.

Des entreprises émergentes comme Olive AI, qui développe un système d'automatisation des tâches administratives pour la santé, ou Plastiq, une plateforme de paiement en ligne, ont effectué d'importantes levées de fonds, avant de se déclarer en faillite. Dans d'autres cas, c'est un service spécifique qui change. IBM, par exemple, a décidé en 2022 de se débarrasser de son unité Watson Health, spécialisée dans l'IA pour la santé, afin de se concentrer sur le cloud et sa solution d'IA principale.

1) Que se passe-t-il lorsqu'un fournisseur disparaît ?

La disparition d'un fournisseur peut poser d'énormes problèmes à une DSI, en particulier quand sa technologie est présente sur une part importante de l'infrastructure. « Les conséquences peuvent varier, depuis les interruptions de services, qui peuvent affecter directement la fourniture du produit, jusqu'à la perte de données ou la nécessité de migrer vers de nouvelles plateformes, ce qui génère des coûts supplémentaires ou porte atteinte à l'image de l'entreprise », explique Raquel García, responsable informatique de Merck en Espagne.

Sans oublier les conséquences juridiques, ajoute Rafael García del Poyo, avocat associé et directeur du département IT/IP au sein du cabinet Osborne Clarke en Espagne. « Si, par exemple, il y a une interruption immédiate ou progressive des services essentiels fournis par l'entreprise cliente, il y aura certainement aussi des effets sur les opérations ou la continuité des affaires qui peuvent entraîner des ruptures de contrat en chaîne », explique l'avocat. Situation qui peut être source de litiges et de demandes de dommages-intérêts de la part des tiers concernés, nécessitant la recherche urgente d'un fournisseur alternatif, engendrant des coûts supplémentaires, la renégociation de nouveaux contrats et d'éventuelles pertes de données ou d'informations cruciales. Bref, une série de conséquences en cascade. L'entreprise cliente doit également envisager la possibilité de récupérer les sommes versées au fournisseur défaillant, et pourrait être en droit de demander une indemnisation ou de participer à la procédure de liquidation.

Publicité2) Que faire en cas de cessation des services ?

Dans un premier temps, et dans la mesure du possible, il est essentiel d'activer les clauses de continuité des activités avec les fournisseurs, explique Raquel García. « Nous devons évaluer l'impact de l'interruption du service et rechercher des solutions de remplacement sur la base de cette évaluation », explique-t-elle, ajoutant qu'elle s'est déjà trouvée dans des situations de ce type. « Dans un cas, il s'agissait d'un fournisseur d'une application qui gérait une activité cruciale avec les hôpitaux. Celui-ci a maintenu son support jusqu'à ce que nous parvenions à migrer vers une autre plateforme. Dans un autre cas, un datacenter externe a été démantelé après avoir été racheté par une autre entreprise. Nous disposions d'un autre datacenter chez un fournisseur différent, ce qui nous a permis de déplacer l'ensemble de l'infrastructure vers ce second centre, minimisant ainsi l'impact sur nos opérations. »

La réponse de la DSI souligne certaines bonnes pratiques face à ce type de situation : la recherche d'une solution de remplacement aussi rapidement que possible et le maintien d'une stratégie de sourcing diversifié. Rafael García del Poyo souligne également l'importance de l'organisation, de l'action rapide et de la collaboration interdépartementale pour identifier et hiérarchiser les besoins critiques de l'entreprise et de ses utilisateurs finaux. « L'objectif ultime doit être de veiller à ce que toute interruption des services fournis soit minimale et de courte durée, afin que les conséquences d'une éventuelle rupture de contrat soient peu nombreuses ou très limitées », explique l'avocat. Autrement dit, la combinaison d'une stratégie d'atténuation des risques immédiats, couplée au renforcement de la résilience à long terme.

Des informations sensibles peuvent aussi être affectées au cours de ce processus. D'où la nécessité de mesures pour protéger ces actifs au cours de l'exécution du contrat. « Si des données sont perdues ou compromises en raison d'une violation imputable au fournisseur, les conséquences peuvent être graves et d'une portée très diverse, tant sur le plan contractuel que réglementaire », explique Rafael García del Poyo. Et de rappeler les obligations imposées par le RGPD lorsqu'il s'agit de données personnelles, qui rendent indispensable la mise en place de mesures préventives et de plans d'intervention robustes.

Les conséquences d'une mauvaise gestion peuvent aller de l'interruption des opérations commerciales à la perte d'informations critiques en passant par des pertes financières découlant des effets d'une telle crise sur la réputation de l'entreprise. « De plus, la simple récupération des données perdues peut être très coûteuse en termes de temps et d'argent », ajoute l'avocat.

Une autre possibilité réside non pas dans la disparition d'un fournisseur de technologies mais dans celle d'un de ses revendeurs. Avec, là encore, fréquemment des conséquences juridiques pour l'entreprise cliente, même si elles sont peut-être moins importantes que dans le premier cas. « Il est toujours possible d'entamer des discussions directement avec le fournisseur principal des services technologiques concernés », souligne Rafael García del Poyo.

3) Comment se préparer à la disparition d'un fournisseur ?

Un travail préalable à toute débâcle est essentiel pour la gérer plus sereinement. Il en va de même en matière de gestion des fournisseurs. Chez Merck, Raquel García souligne la nécessité de disposer de contrats incluant des clauses de continuité des activités et des plans d'urgence, appuyés par d'autres procédures alternatives. « Il n'est pas possible d'élaborer des plans proactifs pour tous les services, c'est pourquoi nous devons procéder à une analyse des risques afin d'identifier les services critiques et évaluer l'impact de leur éventuelle interruption, puis établir un plan spécifique les concernant », explique la DSI. Il peut s'agir, par exemple, de diversifier les fournisseurs, ce qui, dans son cas, s'est avéré utile lorsque le datacenter avec lequel elle travaillait a été démantelé.

La responsable signale d'autres stratégies proactives pour faire face à cette situation, comme l'utilisation de plateformes standard compatibles avec plusieurs fournisseurs afin de rationaliser la migration en cas de migration plus ou moins forcée. La mise en oeuvre de stratégies de sauvegarde de données et de plans de reprise après sinistre, la mise en place d'un système de surveillance des fournisseurs et la tenue d'une documentation claire des processus et des configurations peuvent également s'avérer utiles. En outre, des audits réguliers des fournisseurs et des révisions de contrats peuvent venir renforcer le contrôle de la DSI sur l'évolution de son portefeuille technologique.

Rafael García del Poyo reconnaît également la nécessité d'un plan d'urgence bien conçu, avec des procédures claires pour la récupération des données, la continuité des services, la gestion de la communication interne et externe, la nécessité d'une évaluation continue des risques et l'établissement de relations solides avec les fournisseurs afin de détecter les problèmes potentiels.

Selon lui, des mesures préventives sont nécessaires, en particulier au cours du processus de passation des marchés de services, passant notamment par une évaluation minutieuse de l'expertise technique et de la stabilité financière des fournisseurs avec lesquels l'entreprise va travailler, avant toute signature de contrat. « Il est essentiel que les entreprises qui passent des marchés de services s'assurent que leurs contrats comprennent des clauses de protection, comme des accords sur le niveau de service, des pénalités ou des plans d'urgence qui peuvent aider à atténuer les risques associés à la faillite ou à la disparition d'un fournisseur », souligne l'avocat.

Une fois la collaboration en place, Rafael García del Poyo préconise de maintenir une communication constante et ouverte avec les équipes du fournisseur, afin de faciliter la détection des signes annonciateurs de problèmes techniques ou financiers. Ce canal de communication doit englober les utilisateurs finaux au sein de l'entreprise cliente. Le moment de panique suivant l'annonce de la disparition d'un fournisseur est certainement inévitable, mais il existe des mécanismes qui permettent de s'assurer qu'il ne sera que passager.