Points clés
- La rupture d'une relation fournisseur — qu'elle soit volontaire (changement de prestataire) ou involontaire (faillite, incident) — peut avoir des impacts significatifs sur la continuité d'activité.
- Ces impacts sont d'autant plus importants que la dépendance au fournisseur est forte et que le plan de sortie (exit strategy) n'a pas été préparé.
- La faillite de Hertz Global Holdings en 2020 a perturbé des centaines de fournisseurs de services IT qui dépendaient d'Hertz comme client majoritaire — illustrant le risque de concentration côté client.
- La durée moyenne de migration vers un nouveau prestataire ICT critique est de 12 à 18 mois selon les études Gartner sur les projets d'outsourcing.
- DORA impose aux entités financières de documenter et de tester leurs plans de sortie pour les prestataires ICT critiques.
La rupture d'une relation fournisseur est un scénario que peu d'organisations préparent suffisamment, parce qu'elle semble hypothétique tant que la relation fonctionne bien. Pourtant, les ruptures surviennent — faillites de prestataires, décisions de résiliation pour non-conformité, rachats par des concurrents, décisions stratégiques de réinternalisation — et leur gestion en urgence est considérablement plus coûteuse qu'une préparation anticipée.
La continuité d'activité face à une rupture fournisseur est une dimension de la résilience opérationnelle que les cadres ISO 22301 et DORA traitent explicitement. Les plans de continuité qui ignorent ce scénario sont des plans incomplets.
Les causes de rupture fournisseur
Les ruptures de relation fournisseur peuvent résulter de causes très différentes. La faillite du prestataire est la cause la moins prévisible et la plus brutale : elle peut survenir sans préavis et priver immédiatement l'organisation des services concernés. L'acquisition du prestataire par un concurrent peut conduire à des évolutions tarifaires ou contractuelles inacceptables, ou à des conflits d'intérêts. Un incident de sécurité majeur chez le prestataire peut conduire l'organisation à résilier immédiatement la relation pour limiter son exposition. Une décision réglementaire (retrait d'agrément, sanction interdisant certaines activités) peut également forcer une rupture.
Chaque cause génère des contraintes de délai différentes : la faillite est immédiate, l'acquisition laisse généralement quelques mois, la résiliation pour incident peut être en 24 à 48 heures.
Les composantes d'un plan de sortie
Un plan de sortie (exit strategy) pour un prestataire ICT critique comprend plusieurs composantes. La documentation des services : qu'est-ce que le prestataire délivre exactement, avec quels niveaux de service et quelles interfaces ? Cette documentation permet de comprendre ce qui doit être remplacé. La portabilité des données : comment récupérer l'ensemble des données confiées au prestataire dans un format réutilisable ? Les clauses contractuelles de sortie doivent garantir cette portabilité. L'identification des alternatives : prestataire de remplacement identifié, contrat cadre négocié à l'avance ou capacité interne de secours. La procédure de transition : les étapes de migration, les ressources nécessaires, les délais réalistes.
DORA impose que ce plan de sortie soit documenté et testé pour les prestataires ICT critiques — un test qui peut prendre la forme d'un exercice tabletop ou d'une migration de service vers un prestataire de secours.
La négociation des clauses de sortie
Les clauses contractuelles qui facilitent une sortie sont souvent les plus difficiles à négocier : un prestataire n'a pas d'intérêt naturel à faciliter son propre remplacement. Les clauses importantes incluent : la portabilité des données dans un format standard, le délai de fourniture des données en cas de résiliation, la continuité de service pendant la période de transition (transition service agreement), et l'interdiction de rétention des données après la fin du contrat.
L'acquisition de ServicePower (prestataire de gestion des interventions terrain) par IFS en 2022 a créé une disruption pour plusieurs de ses clients américains qui utilisaient ServicePower pour des fonctions critiques de gestion des techniciens. L'intégration dans le portefeuille IFS a conduit à des changements de contrat et de tarification, forçant certains clients à initier en urgence des migrations vers d'autres solutions. Les organisations qui avaient préparé des plans de sortie ont pu gérer la transition en 6 mois ; celles qui n'en avaient pas ont mis 18 à 24 mois.
La fusion entre Wind et H3G en Italie a créé la nécessité de migrer des systèmes IT critiques de deux prestataires différents vers une architecture unifiée. Cette migration, menée entre 2018 et 2020, a perturbé les services clients à plusieurs reprises en raison de l'absence de plans de transition testés pour certains systèmes critiques. L'Autorité Garante delle Comunicazioni italienne a ouvert une enquête sur les impacts clients. L'incident est documenté comme exemple de rupture fournisseur mal gérée dans les formations à la continuité d'activité.
La MAS impose aux institutions financières de Singapour de documenter un plan de sortie pour chaque prestataire ICT critique, incluant : l'identification d'un prestataire de remplacement, une estimation des délais et coûts de migration, et un plan de continuité de service pendant la transition. La MAS effectue des inspections sur site pour vérifier l'existence et la cohérence de ces plans. Les institutions dont les plans de sortie sont absents ou insuffisants reçoivent des recommandations formelles.