L’externalisation est l’un des sujets les plus polarisants de l’IT et du management de transition. Pour certains, c’est une évidence moderne : gagner en vitesse, en expertise, en flexibilité, en coûts. Pour d’autres, c’est une pente fatale : dépendance, dilution du savoir, perte de contrôle, explosion des tickets et du non-dit, et au final une DSI réduite à gérer des prestataires au lieu de délivrer de la valeur.
La vérité, comme souvent, est plus froide et plus simple : l’externalisation n’est ni bonne ni mauvaise. Elle est dangereuse quand elle sert de fuite, et salvatrice quand elle sert de levier. Tout dépend du seuil critique, du niveau de contrôle, de la qualité contractuelle, et de la manière dont on transitionne. En mission, on voit très vite si l’externalisation est un outil de survie… ou un outil de destruction lente.
Le seuil critique : le point où l’externalisation devient une dépendance
Une organisation peut externaliser sans mourir. Mais elle ne peut pas externaliser n’importe quoi, n’importe comment, au-delà d’un certain seuil. Ce seuil n’est pas un pourcentage magique, c’est un seuil de maîtrise. Tant que l’entreprise garde la capacité de comprendre, décider, arbitrer, diagnostiquer et reprendre, l’externalisation reste réversible. Le jour où elle perd cette capacité, elle devient captive.
Le signe le plus clair est invisible : ce n’est pas le nombre de contrats, c’est le moment où plus personne, en interne, n’est capable de dire précisément comment fonctionne le système, pourquoi il tombe, où se trouve le risque, et combien coûte réellement une heure d’indisponibilité. On n’est plus dans une externalisation, on est dans une délégation de souveraineté.
Un DSI de transition doit donc poser une question brutale dès les premiers jours : si le prestataire disparaît demain matin, que reste-t-il ? Des runbooks exploitables ? Une documentation vivante ? Des accès maîtrisés ? Une architecture comprise ? Une capacité à reconstruire ? Si la réponse est floue, le seuil critique est probablement déjà dépassé.
Contrôle : externaliser l’exécution, jamais la décision
La règle d’or, souvent oubliée, est simple : on peut externaliser l’exécution, mais on ne doit pas externaliser la décision. Le contrôle ne se joue pas dans la hiérarchie, il se joue dans la structure : qui définit les priorités, qui valide les changements, qui arbitre les risques, qui possède l’architecture, qui tient les KPI, qui a la main sur les accès critiques, qui peut dire stop.
Quand le prestataire devient celui qui “sait”, celui qui “décide”, celui qui “explique”, le rapport est inversé. L’entreprise n’achète plus un service, elle loue une dépendance. Et cette dépendance grandit naturellement, parce que le prestataire a un intérêt économique à se rendre indispensable, même sans malveillance. La meilleure prison est celle dont on ne voit pas les barreaux.
Le contrôle passe donc par des mécanismes concrets : une gouvernance de changement interne, un responsable produit ou service côté DSI, une architecture maîtrisée en interne, des revues régulières, des indicateurs vérifiables, et un droit de regard réel sur les compétences mobilisées. Externaliser ne doit jamais signifier “ne plus comprendre”.
Le contrat : là où l’externalisation se gagne ou se perd
Dans beaucoup d’entreprises, le contrat est traité comme une formalité juridique. C’est une erreur coûteuse. Le contrat est l’architecture de la relation. Il définit ce que le prestataire doit faire, comment il doit le faire, comment on mesure, comment on escalade, comment on sort. Un contrat mal écrit produit exactement ce qu’il permet : du flou, des interprétations, des zones grises, et donc des surprises.
Un bon contrat d’externalisation devrait rendre l’incompétence visible. Il devrait empêcher le “ça dépend” permanent. Il devrait donner à l’entreprise une capacité d’exiger sans guerre. Et surtout, il devrait contenir une chose que beaucoup oublient : la réversibilité, écrite, chiffrée, planifiée, testée.
Les points qui tuent ou sauvent se trouvent souvent dans les détails : définition des SLA et surtout des SLO (objectifs réels d’expérience), périmètre exact, responsabilités de bout en bout, gestion des changements, obligations de documentation, propriété des scripts et des configurations, modalités d’audit, pénalités crédibles, et un modèle de facturation qui n’encourage pas l’inefficacité. Un contrat où tout est en “régie” sans garde-fous peut transformer chaque incident en opportunité de facturer du temps. Et dans une DSI sous pression, c’est la recette d’un gouffre.
La transition : le moment où l’externalisation devient critique
Le plus grand risque n’est pas l’externalisation en régime stabilisé. Le plus grand risque est la transition : changer de prestataire, changer de modèle, changer de périmètre, changer d’outil. C’est là que les pertes de connaissance se révèlent, que les accès se perdent, que les procédures implicites explosent, et que les équipes internes découvrent qu’elles ne savent plus ce qu’elles possèdent.
Un DSI de transition doit traiter la transition comme un chantier industriel, pas comme une étape administrative. Il faut un inventaire de services réel, des runbooks, des baselines, un plan de transfert de compétences, des tests, des “jours de reprise” simulés, et une gouvernance d’escalade. Il faut aussi surveiller une variable humaine : la fatigue. Une transition d’externalisation, mal pilotée, épuise les équipes internes et produit des erreurs. Et la cyber adore les erreurs.
C’est aussi pendant la transition qu’il faut décider ce qu’on garde en interne. Trop d’organisations font l’inverse : elles externalisent tout, puis elles se demandent pourquoi elles n’ont plus de colonne vertébrale. La transition est le moment où l’on redéfinit le noyau dur, le centre de gravité.
Quand ça sauve : les cas où l’externalisation est un levier de survie
L’externalisation sauve quand elle répond à un besoin de capacité ou de compétence, pas à un besoin d’abandon. Elle sauve quand l’entreprise doit absorber un pic de charge, sécuriser une exploitation 24/7, industrialiser des processus, ou obtenir rapidement une expertise rare. Elle sauve quand elle permet à la DSI de se concentrer sur la valeur : le produit, le métier, la transformation.
Elle sauve aussi quand elle sert de cadre. Dans certaines organisations, l’externalisation impose une discipline : catalogue de services, SLA, reporting, gestion des changements, procédures. À condition que cette discipline ne soit pas un théâtre, mais un outil de contrôle. Dans ces cas-là, un bon infogérant peut stabiliser un SI qui partait en morceaux, et redonner de l’air aux équipes internes.
Enfin, elle sauve quand la réversibilité est réelle. La réversibilité n’est pas une clause, c’est une capacité. Si l’entreprise peut reprendre, elle reste souveraine. Si elle ne peut pas reprendre, elle n’a rien externalisé : elle a cédé.
Quand ça tue : les scénarios où l’externalisation devient une pente fatale
L’externalisation tue quand elle vise le mauvais périmètre, ou quand elle franchit le seuil critique. Elle tue quand on externalise le cœur sans garder la maîtrise de l’identité, de la sécurité, de l’architecture, des sauvegardes, et de la connaissance des flux. Elle tue quand la DSI devient un centre de tickets, incapable de faire des diagnostics sans “ouvrir une demande”.
Elle tue aussi quand la gouvernance est faible : pas de KPI utiles, pas de revues sérieuses, pas d’audit, pas de contrôle des accès, pas de visibilité sur les compétences réellement mobilisées. Dans ce cas, le prestataire ne devient pas un partenaire, il devient un écran. Et derrière l’écran, la qualité se dégrade sans qu’on sache où agir.
Enfin, elle tue quand le contrat est une passoire. Un mauvais contrat ne protège ni les métiers, ni la DSI, ni la direction. Il crée une zone grise où chacun peut se dédouaner, et où le coût réel explose sans responsable identifiable. La phrase typique d’une externalisation qui tue est connue : “On paye beaucoup, et pourtant ça ne marche pas.”
La méthode du DSI de transition : rétablir la souveraineté sans casser la machine
En mission, la priorité n’est pas d’avoir une opinion. C’est de rétablir la maîtrise. Cela passe par un diagnostic rapide : cartographier les services, identifier les dépendances, mesurer le niveau de documentation, vérifier les accès, comprendre le modèle économique, évaluer la réversibilité. Puis vient la stabilisation : mettre une gouvernance hebdo, clarifier le RACI, imposer des KPI simples, et exiger des plans de correction avec dates.
Ensuite seulement, on peut décider : renforcer l’externalisation là où elle est utile, internaliser un noyau critique, réécrire des contrats, changer d’infogérant, ou reconstruire un modèle hybride. Le DSI de transition n’est pas là pour “externaliser” ou “internaliser”. Il est là pour rendre l’entreprise capable de choisir.
Externaliser peut sauver une DSI comme un respirateur peut sauver un patient. Mais un respirateur n’est pas une vie. Si l’organisation ne reconstruit pas sa capacité à comprendre et à décider, elle restera dépendante. Et tôt ou tard, cette dépendance coûtera plus cher que le problème initial.
Dans l’IT, l’externalisation n’est pas une solution. C’est un rapport de force. Quand l’entreprise garde la souveraineté, elle gagne. Quand elle la perd, elle s’en aperçoit toujours trop tard.
En savoir plus sur GDL T&C
Subscribe to get the latest posts sent to your email.
Leave a Reply
You must be logged in to post a comment.