Points clés
- La dépendance technologique à des prestataires et fournisseurs de solutions crée des vulnérabilités structurelles que les organisations identifient rarement avant un incident.
- La concentration autour de quelques grands fournisseurs cloud, éditeurs logiciels et prestataires de services crée un risque systémique documenté par les régulateurs financiers et les agences de cybersécurité.
- 64 % des entreprises utilisent les services d'au moins un grand hyperscaler cloud (AWS, Azure, GCP) pour des fonctions critiques, selon Gartner 2023.
- Le rapport du Conseil de Stabilité Financière (FSB) 2023 identifie la concentration des services cloud comme l'un des risques systémiques les plus importants pour le secteur financier mondial.
- DORA impose aux entités financières d'évaluer et de documenter leurs risques de concentration technologique, notamment vis-à-vis des fournisseurs cloud.
La dépendance technologique à des prestataires externes est une réalité incontournable dans l'économie numérique moderne. Les organisations externalisent leur infrastructure cloud, leur sécurité, leur développement logiciel, leurs outils de collaboration et de nombreuses autres fonctions à des prestataires spécialisés. Cette externalisation crée de la valeur — efficacité, accès à des expertises spécialisées, économies d'échelle — mais elle crée également des dépendances dont la défaillance peut être dévastatrice.
La question n'est pas d'éliminer ces dépendances, ce qui serait à la fois impossible et contre-productif. La question est de les identifier, de les documenter, d'en évaluer les risques, et de définir des stratégies d'atténuation : redondance, alternatives activables, plans de continuité, clauses contractuelles de résilience.
Le risque de concentration cloud
La concentration du marché cloud autour de trois hyperscaleurs (AWS, Microsoft Azure, Google Cloud Platform) crée un risque systémique sans précédent. Une panne majeure d'AWS us-east-1, la région la plus utilisée d'Amazon, affecte simultanément des milliers d'organisations dans le monde. Ce scénario s'est produit à plusieurs reprises — en décembre 2021, en 2023 — révélant l'étendue des dépendances que de nombreuses organisations ignoraient elles-mêmes.
Le Conseil de Stabilité Financière (FSB) et la Banque des Règlements Internationaux (BRI) ont publié plusieurs rapports sur ce risque systémique, recommandant aux institutions financières de diversifier leurs fournisseurs cloud pour les fonctions critiques et de maintenir des capacités de bascule activables.
Le risque de concentration logicielle
Au-delà du cloud, la concentration autour de quelques éditeurs de logiciels crée des risques de type SolarWinds : lorsqu'un éditeur de logiciel critique est compromis, tous ses clients sont simultanément exposés. Les catégories de logiciels les plus sensibles sont celles qui bénéficient de droits d'accès étendus sur les systèmes clients : outils de supervision réseau, solutions de sécurité endpoint, outils de déploiement logiciel, solutions RMM (Remote Monitoring and Management).
La diversification des solutions dans ces catégories — ne pas dépendre d'un unique éditeur pour des fonctions critiques — est une mesure d'atténuation recommandée par CISA et l'ANSSI.
La cartographie des dépendances critiques
La gestion du risque de dépendance technologique commence par une cartographie exhaustive des dépendances critiques : pour chaque fonction critique de l'organisation, quels sont les prestataires, logiciels, services cloud et API externes dont elle dépend ? Cette cartographie doit identifier les dépendances directes et indirectes (les prestataires des prestataires), et évaluer les conséquences d'une défaillance de chaque dépendance sur la continuité d'activité.
La panne AWS us-east-1 du 7 décembre 2021 a rendu indisponibles des milliers de services hébergés sur Amazon, dont des plateformes de e-commerce majeures, des applications de logistique et des outils de collaboration. De nombreuses organisations ont découvert lors de cet incident que leurs plans de continuité ne prévoyaient pas de bascule en cas de panne d'AWS — parce qu'elles ne s'étaient pas considérées comme dépendantes d'AWS directement, leur application étant hébergée par un prestataire intermédiaire qui lui-même dépendait d'AWS.
La Commission Européenne et plusieurs autorités nationales ont documenté le risque de concentration technologique lié à la dépendance de nombreuses administrations publiques aux services de Microsoft 365. Un rapport de la CNCF (Cloud Native Computing Foundation) Europe 2023 a identifié que plus de 80 % des administrations publiques européennes utilisent Microsoft 365 pour leurs outils de collaboration, créant une dépendance critique à un unique fournisseur américain. La stratégie cloud souveraine de plusieurs États membres vise à réduire cette dépendance.
La MAS Singapore a publié en 2023 des directives spécifiques sur le risque de concentration cloud pour les institutions financières. Ces directives imposent de documenter les seuils de concentration (aucun fournisseur cloud unique ne peut supporter plus de X % des fonctions critiques), de maintenir des plans de bascule testés, et de notifier la MAS lorsque le seuil de concentration est atteint. Ces directives ont conduit plusieurs institutions financières singapouriennes à initier des programmes de migration multi-cloud ou à développer des capacités on-premise de secours.