5 risques liés à la sous-traitance informatique que les DSI ne peuvent ignorer (et comment les gérer)

 

L’IA n’est plus une simple expérience de back-office. Selon l’étude McKinsey « State of AI 2025 », 88 % des organisations utilisent désormais l’IA dans au moins une fonction métier, le département informatique étant à la pointe de son adoption. Les spécialistes externes, les prestataires et les cabinets de conseil réalisent une part croissante de ce travail.

Pourtant, la plupart des entreprises n’ont pas encore intégré les risques. Seul un tiers environ a déployé l’IA à l’échelle de ses unités opérationnelles, et seulement 39 % font état d’un impact mesurable sur leur EBIT. Lorsque les structures contractuelles ne correspondent pas à la complexité des services fournis, l’écart entre les dépenses et la valeur ajoutée de l’IA se creuse rapidement. Artech accompagne les programmes de contractualisation informatique dans les secteurs du cloud, de l’IA et des industries réglementées aux États-Unis depuis plus de vingt ans. Les schémas sous-jacents à ces cinq risques sont constants, quel que soit le modèle d’engagement.

Ce guide analyse les cinq principaux risques liés aux contrats informatiques et propose une approche pratique de gestion des risques contractuels aux dirigeants d’entreprise. Il explique comment adapter vos effectifs et vos modèles contractuels pour intégrer les risques dès la conception et non les ajouter a posteriori. Vous y trouverez également des mesures de gouvernance concrètes et des réponses concises aux questions que les dirigeants posent déjà à leurs équipes et à leurs fournisseurs.

Quels sont les principaux risques liés aux contrats informatiques que les DSI et les DAF doivent surveiller ?

Le risque lié à la sous-traitance informatique ne se limite pas à une seule fonction. Il concerne la finance, les opérations, les RH et la sécurité. Cinq catégories couvrent la majeure partie de ce risque :

• Risque financier et de valeur — Les entrepreneurs ont coûté plus cher que prévu, sans retour sur investissement clair
• Risque lié aux capacités et à la continuité — le savoir disparaît à la fin des contrats
• Risques liés à la gouvernance et à la visibilité — Personne ne détient le tableau complet des dépenses et des performances des travailleurs informatiques externes.
• Risques liés à la sécurité et à la conformité — les sous-traitants détiennent un accès qui n’est ni révoqué, ni audité, ni réglementé
• Risque lié au modèle et à la conception du contrat — le type d’engagement inadapté au travail en cours

Perspectives de l’industrie technologique de Deloitte pour 2025 Artech constate que les organisations sont soumises à une forte pression pour repenser leurs stratégies d’approvisionnement, de prestation et de gestion des talents afin d’adopter des modèles opérationnels plus agiles et résilients. Dans l’ensemble des grands programmes d’Artech destinés aux entreprises, nous observons la même tendance : les organisations qui intègrent ces cinq catégories de risques dans un cadre unique s’adaptent plus rapidement aux évolutions du marché ou des technologies.

La gestion de ces cinq risques est la clé de cette transformation. Pour une analyse plus approfondie de la stratégie RH sous-jacente, consultez le rapport d’Artech. Livre blanc sur la pérennisation de votre main-d’œuvre temporaire est un point de départ utile.

Risque 1 — Risque financier et de valeur : Quand les prestataires informatiques valent-ils la prime ?

Les conseils d’administration et les directeurs financiers se posent des questions plus pointues. McKinsey constate que si 80 % des organisations font de l’efficacité un objectif en matière d’IA, seules celles qui visent également la croissance et l’innovation obtiennent des retours sur investissement significatifs à l’échelle de l’entreprise. Les prestataires engagés pour « pourvoir des postes liés à l’IA » sans résultats clairement définis reproduisent le même schéma : des dépenses inutiles.

Le risque se manifeste de façon classique : missions d’externalisation de personnel aux périmètres flous et qui s’éternisent, contrats facturés à l’heure plutôt qu’au résultat, et intermédiaires qui majorent les prix sans responsabiliser les équipes.

Ce qu’il faut changer :

• Définissez une hypothèse de valeur pour chaque mission de sous-traitance informatique avant la signature du contrat : à quoi ressemble le succès dans 90 jours ?
• Modifier les structures de paiement, en passant d’un modèle basé sur le temps passé et les matériaux utilisés à des modèles basés sur des étapes clés ou liés aux résultats, au moins pour les travaux de projet.
• Utiliser recrutement de personnel informatique en vue d’une embauche afin de valider l’adéquation et les compétences pour des rôles à forts enjeux avant un engagement permanent.

Risque 2 — Risque lié aux capacités et à la continuité : à quel point la dépendance envers les sous-traitants informatiques est-elle excessive ?

L’étude McKinsey « État de l’IA 2025 » révèle que les entreprises recrutent activement pour des postes liés à l’IA (ingénieurs logiciels et ingénieurs de données en tête de liste), mais la plupart n’en sont qu’aux prémices de leur déploiement à grande échelle, ce qui fait peser le risque de mise en œuvre sur les épaules des talents externes. Cette réalité pousse les entreprises vers des modèles de main-d’œuvre informatique externalisée, une réponse compréhensible. Le risque survient lorsque cet équilibre est rompu.

McKinsey constate également que 32 % des dirigeants s’attendent à ce que l’IA réduise leurs effectifs globaux d’au moins 3 % au cours de l’année à venir. Dès lors, les décisions relatives à la composition des effectifs (CDI et externalisation) ne relèvent plus seulement d’une question de recrutement, mais aussi de restructuration.

Lorsqu’une équipe est majoritairement composée de consultants, les décisions d’architecture, les normes de sécurité et le savoir-faire institutionnel peuvent être externalisés. À la fin d’un contrat, cette expertise disparaît.

Ce qu’il faut changer :

• Définir une composition des effectifs adaptée à chaque domaine : un noyau permanent pour la gestion, la sécurité et la gouvernance de la plateforme ; des effectifs temporaires et des ressources pour des missions ponctuelles ou exploratoires.
• Intégrez le transfert de connaissances comme livrable contractuel dans chaque cahier des charges et accord de mise à disposition de personnel – non pas une simple courtoisie, mais une obligation.
• Découvrez la réflexion d’Artech sur stratégie de main-d’œuvre temporaire pour les équipes informatiques pour savoir comment concevoir le bon mélange

Risque 3 — Risque de gouvernance et de visibilité : Qui devrait être responsable de la stratégie relative aux effectifs informatiques contingents ?

Dans la plupart des entreprises, la réponse la plus honnête est : personne, tout simplement. Les RH gèrent les procédures d’intégration, les achats suivent les grilles tarifaires et l’informatique contrôle les accès. Aucun de ces services n’a une vision globale des effectifs, des dépenses et des risques liés aux travailleurs indépendants du secteur informatique. Des tableurs manuels comblent les lacunes, et ces lacunes faussent les audits.

Deloitte le souligne d’ailleurs : des modèles opérationnels résilients exigent une meilleure visibilité sur toutes les formes de ressources, et pas seulement sur les employés.

Ce qu’il faut changer :

• Mettre en place un modèle de gouvernance des effectifs temporaires avec des droits de décision clairs : les RH définissent les normes relatives aux effectifs, les achats gèrent les risques commerciaux et liés aux fournisseurs, et l’informatique définit les types de rôles et les règles d’accès.
• Remplacez le suivi par tableur par des systèmes qui font apparaître en temps réel les dates de fin de contrat, les analyses de dépenses et les indicateurs de performance.
• Effectuer des revues de gouvernance mensuelles axées sur les exceptions, et non pas seulement sur les mises à jour de statut.

Pour un plan pratique, celui d’Artech 6 étapes pour pérenniser votre main-d’œuvre temporaire décrit en détail la conception de la gouvernance.

Risque 4 — Risque de sécurité et de conformité : Comment les DSI doivent-ils gérer l’accès des sous-traitants ?

Deloitte identifie la cybersécurité, la protection des données et la confiance numérique comme des priorités absolues face à l’expansion de l’IA, du cloud et des partenariats écosystémiques. Les développeurs et ingénieurs externes disposent souvent d’un accès étendu aux systèmes de production et aux données sensibles. Lorsque la procédure de désactivation est manuelle ou négligée, les comptes inactifs deviennent des failles de sécurité.

McKinsey ajoute qu’une minorité d’organisations ont pleinement mis en œuvre des pratiques de gestion des risques et de gouvernance de l’IA, alors même que les flux de travail des prestataires intégrant l’IA se généralisent. Ce manque représente un risque.

Ce qu’il faut changer :

• Considérez l’accès et le départ des prestataires informatiques comme des contrôles relevant du conseil d’administration : accès basé sur les rôles, dates de début et de fin définies et flux de travail conjoints RH-IT pour le départ des prestataires avec des déclencheurs automatisés.
• Exigez de vos partenaires contractuels qu’ils se conforment à vos politiques de gouvernance de l’IA : des limites de données claires, une utilisation documentée des modèles et une supervision humaine pour les travaux sensibles.
• Vérifier les comptes des entrepreneurs trimestriellement, et non annuellement.

Risque 5 — Risque lié au modèle et à la conception du contrat : Comment les dirigeants doivent-ils choisir entre l’augmentation du personnel informatique, les projets SOW et les services gérés ?

Deloitte est clair : les transformations numériques et l’intelligence artificielle sont essentielles à la stratégie d’entreprise et ne seront pas interrompues par des restrictions budgétaires. Le modèle d’engagement que vous choisissez détermine votre profil de risque sur l’ensemble du cycle de vie du projet, et pas seulement pour le trimestre en cours.

La plupart des organisations optent par défaut pour l’externalisation de personnel, car c’est une solution familière et rapide. C’est une solution raisonnable en cas de pénurie de personnel et de compétences. Le risque apparaît lorsque l’externalisation est utilisée pour des tâches nécessitant des résultats clairement définis, ou lorsqu’elle se prolonge au point de devenir un service géré de facto, sans la gouvernance qui en découle.

Ce qu’il faut changer :

• Posez une question par initiative : Est-ce une déficit de capacité, un résultat, ou un service continuAssociez le modèle à la réponse.
• Pour le renforcement des effectifs, définissez des limites claires dès le départ : durée maximale des prolongations, équipes mixtes avec un responsable interne et évaluation formelle au bout de six mois pour vérifier si le modèle est toujours adapté.
• Artech dotation en personnel du projet et modèle de prestation basé sur le cahier des charges il est conçu pour les équipes qui ont besoin d’une responsabilité en matière de résultats intégrée à la structure contractuelle

Un cadre pratique de gestion des risques liés aux contrats informatiques pour les trois prochaines années

Ensemble, ces cinq catégories forment un cadre pratique de gestion des risques liés aux contrats informatiques que vous pouvez utiliser avec vos responsables RH, achats et informatiques au cours des trois prochaines années.

Les cinq risques mentionnés ci-dessus — financiers, de continuité, de gouvernance, de sécurité et de conception du modèle — ne sont pas indépendants. Ils se cumulent. Un projet d’externalisation de personnel mal défini (risque lié au modèle), sans visibilité sur les coûts ni les performances (risque lié à la gouvernance), et réalisé par des prestataires qui conservent un accès au système après leur départ (risque lié à la sécurité), est un scénario courant et évitable.

Les données de McKinsey montrent que les organisations qui tirent le meilleur parti de l’IA sont celles qui repensent leurs flux de travail, mettent en place des structures de gouvernance et considèrent la transformation comme une discipline à l’échelle de l’entreprise. Ce même principe s’applique à la manière dont vous recrutez les talents qui sous-tendent ces transformations.

Si vous souhaitez analyser les points faibles de votre modèle actuel de contrats informatiques, Parlez à notre équipe—nous vous aiderons à identifier lequel de ces cinq risques est le plus prioritaire pour votre environnement et à définir une première étape concrète.

Foire aux questions

Dans quelles circonstances les consultants informatiques justifient-ils réellement le surcoût par rapport aux employés à temps plein ?
Lorsque la mission est limitée dans le temps, requiert des compétences rares ou doit débuter avant qu’un recrutement puisse être effectué, la prime se justifie si le contrat définit un périmètre précis, des résultats mesurables et une date de fin clairement définie. Elle devient un fardeau lorsque l’externalisation se transforme en un renforcement des effectifs indéfini et non différencié, sans obligation de résultats.

À qui devrait appartenir la stratégie relative aux effectifs informatiques externes : aux RH, aux achats ou à l’informatique ?
Chacun de ces trois services, avec des rôles distincts. Les RH définissent les normes relatives aux effectifs et les procédures d’intégration. Les achats gèrent les risques commerciaux et liés aux fournisseurs. L’informatique définit les types de rôles et les règles d’accès. Sans une responsabilité partagée et clairement définie, les politiques se fragmentent, des silos de données se forment et même les dirigeants peinent à obtenir des informations de base sur le nombre de prestataires, les dépenses ou l’exposition aux risques. Découvrez comment. recrutement de personnel temporaire pour les programmes cloud et IA des structures qui modélisent en pratique.

Quels mécanismes de contrôle spécifiques devrions-nous mettre en place pour encadrer l’externalisation du personnel informatique afin d’éviter les dépassements de coûts ?
Définissez une hypothèse de valeur avant le début du contrat. Limitez les prolongations et exigez une revue du modèle après six mois. Constituez des équipes mixtes avec un chef de projet interne responsable des résultats. Liez au moins une partie du paiement à des étapes clés. Ces quatre mesures permettent de maîtriser la plupart des risques financiers et opérationnels liés aux missions d’externalisation de personnel.

Quelles sont les meilleures pratiques pour l’intégration et le départ des prestataires informatiques afin que l’accès soit toujours correct ?
Utilisez un système de contrôle d’accès basé sur les rôles, lié aux dates de début et de fin de contrat, avec des déclencheurs de désactivation automatisés. Auditez les comptes des prestataires chaque trimestre. Exigez des partenaires contractuels qu’ils documentent les besoins d’accès de chaque rôle et confirment la suppression des comptes dans les 24 heures suivant la fin du contrat. Les prestataires récurrents ou intervenant ponctuellement doivent être mis en statut inactif entre leurs missions, plutôt que de faire l’objet d’un réapprovisionnement complet à chaque fois.