Retour au glossaire
V
Définition

Vendor management Définition IT

Gestion structurée du cycle de vie des fournisseurs IT : sélection, contractualisation, pilotage de la performance, gestion des risques, renouvellement et sortie.

Le vendor management (gestion des fournisseurs IT) est la pratique structurée de pilotage du cycle de vie des fournisseurs IT d'une organisation : sélection, contractualisation, pilotage de la performance, gestion des risques, renouvellement et plan de sortie. C'est une discipline qui combine achats, juridique, gouvernance SI, cybersécurité et FinOps.

Le sujet a pris une importance stratégique avec la généralisation du SaaS (une entreprise moyenne gère désormais 200 à 500 fournisseurs IT), avec la pression réglementaire (DORA et NIS2 imposent une cartographie et un encadrement contractuel des fournisseurs IT), et avec l'explosion des attaques de la supply chain.

Les six étapes du vendor management

### 1. Sélection (sourcing)

  • Définition des besoins fonctionnels et non fonctionnels.
  • Étude de marché, RFI/RFP.
  • Évaluation comparative : produit, prix, sécurité, conformité, viabilité éditeur.
  • Pilotage POC / pilote.
  • Décision et validation.

### 2. Contractualisation

  • Négociation des termes contractuels.
  • Clauses obligatoires : SLA, DPA RGPD, audit, sortie, sous-traitance, conformité (ISO 27001).
  • Validation juridique, sécurité, finance.
  • Signature et activation.

### 3. Onboarding

  • Provisioning des accès, SSO.
  • Formation des utilisateurs.
  • Mise en place du monitoring de performance.
  • Communication interne.

### 4. Pilotage opérationnel

  • Suivi des SLA et de la qualité de service.
  • Comités contractuels périodiques (mensuel à trimestriel).
  • Gestion des incidents, escalades.
  • Suivi de la consommation et des coûts.

### 5. Renouvellement

  • Anticipation 6 à 12 mois avant échéance.
  • Évaluation : satisfaction, alternatives, négociation.
  • Renégociation tarifaire sur la base de l'usage réel.
  • Évolution contractuelle si besoin.

### 6. Sortie

  • Plan de sortie formalisé (article 30 DORA).
  • Récupération et migration des données.
  • Désactivation des accès.
  • Communication interne et client si nécessaire.
  • Audit post-sortie.

Vendor risk management (VRM)

Le vendor risk management est la sous-discipline de gestion des risques fournisseurs, devenue prioritaire avec DORA et NIS2. Elle couvre :

  • Risque cyber: : posture sécurité du fournisseur, certifications (ISO 27001, SOC 2, HDS), historique d'incidents.
  • Risque de continuité: : capacité du fournisseur à maintenir le service en cas de crise.
  • Risque financier: : santé financière de l'éditeur, risque de faillite.
  • Risque de conformité: : RGPD, AI Act, sectoriel (PCI-DSS, HDS).
  • Risque géopolitique: : localisation des données, Cloud Act, souveraineté.
  • Risque de concentration: : dépendance excessive à un fournisseur critique.
  • Risque de sortie (vendor lock-in): : capacité à changer de fournisseur.

Pour les fournisseurs critiques, une évaluation annuelle approfondie est attendue.

Tiering des fournisseurs

Une bonne pratique consiste à classer les fournisseurs par niveau de criticité :

  • Tier 1 — Critiques: : leur défaillance arrête l'activité. Suivi mensuel, audit annuel, plan de sortie formalisé.
  • Tier 2 — Importants: : dégradent significativement l'activité. Suivi trimestriel.
  • Tier 3 — Standards: : impact limité. Suivi annuel, revue contractuelle.
  • Tier 4 — Accessoires: : commodity, facilement remplaçables. Revue minimale.

Le tiering oriente l'effort de gouvernance là où il a le plus d'impact.

Vendor management et FinOps

Le pilotage des coûts fournisseurs est l'un des leviers les plus immédiats du FinOps :

  • Renégociation: sur la base de l'usage réel (cf. license management).
  • Consolidation: : passer de 5 fournisseurs de visioconférence à 1 standard d'entreprise.
  • Allocation des coûts: : refacturer (chargeback) aux directions consommatrices.
  • Rightsizing: des engagements (cf. rightsizing).
  • Anticipation: des renouvellements pour éviter les renouvellements tacites contraints.

Vendor management et conformité réglementaire

Les régulations imposent une discipline de vendor management :

  • [DORA](/fr/glossary/dora): (article 28) : registre des prestataires IT, clauses contractuelles obligatoires, plan de sortie, supervision des fournisseurs critiques.
  • [NIS2](/fr/glossary/nis2): : sécurité de la chaîne d'approvisionnement, gestion des risques tiers.
  • RGPD: : DPA, garanties contractuelles, registre des sous-traitants.
  • [ISO 42001](/fr/glossary/iso-42001): : gouvernance des fournisseurs d'IA.

Vendor management et cartographie

Une vue à jour des fournisseurs et de leur exposition au SI est un prérequis indispensable :

  • Quels services rendus par quel fournisseur ?
  • Quelles applications sont impactées si un fournisseur tombe ?
  • Quelles données sortent vers quel fournisseur ?
  • Quels accès sont conférés aux fournisseurs (et révoqués à temps) ?

Kabeen croise automatiquement applications, fournisseurs, contrats et usages pour fournir à la DSI une vue vendor management actionnable et conforme aux exigences DORA / NIS2.

Questions fréquentes

Qu'est-ce que le vendor management ?

+

Le vendor management est la pratique structurée de pilotage du cycle de vie des fournisseurs IT : sélection, contractualisation, pilotage de la performance, gestion des risques, renouvellement et plan de sortie. C'est une discipline transverse qui combine achats, juridique, gouvernance SI, cybersécurité et FinOps. Une entreprise moyenne gère 200 à 500 fournisseurs IT — le sujet est devenu stratégique avec DORA et NIS2.

Quelles clauses contractuelles sont devenues obligatoires ?

+

Avec DORA (article 30) et NIS2, plusieurs clauses sont devenues obligatoires pour les fournisseurs IT critiques : SLA documentés, DPA RGPD, droit d'audit (incluant sur site), plan de sortie formalisé, restrictions de sous-traitance, localisation des données, notification d'incidents dans des délais courts (24-72h), conformité aux standards (ISO 27001, SOC 2), restitution des données en fin de contrat. Le contrat type a beaucoup évolué depuis 2024.

Comment classer les fournisseurs IT (tiering) ?

+

Quatre tiers selon la criticité : Tier 1 critiques (leur défaillance arrête l'activité, suivi mensuel, audit annuel, plan de sortie obligatoire), Tier 2 importants (dégradent significativement l'activité, suivi trimestriel), Tier 3 standards (impact limité, suivi annuel), Tier 4 accessoires (commodity, revue minimale). Le tiering oriente l'effort de gouvernance là où il a le plus d'impact, et conditionne le niveau de scrutiny réglementaire.

Quels sont les risques liés aux fournisseurs IT ?

+

Sept risques structurants : (1) risque cyber (posture sécurité du fournisseur), (2) risque de continuité (capacité à maintenir le service en crise), (3) risque financier (santé de l'éditeur, faillite), (4) risque de conformité (RGPD, AI Act, sectoriel), (5) risque géopolitique (Cloud Act, souveraineté), (6) risque de concentration (dépendance excessive à un fournisseur), (7) risque de vendor lock-in (difficulté à changer). DORA impose une évaluation annuelle de ces risques pour les fournisseurs critiques.

Tous les termes

ABCDEFGHIJKLMNOPQRSTUVWXYZ
5

Méthode des 5R

Une stratégie utilisée lors de la rationalisation des applications pour déterminer la meilleure approche de gestion.

8

Méthode des 8R

Une version étendue de la méthode 5R utilisée dans la gestion du portefeuille d'applications et les stratégies de migration.

A

Application

Un programme informatique ou un ensemble de programmes conçus pour rationaliser les opérations commerciales.

A

Architecture

Réfère à la structure et au comportement des systèmes informatiques, des processus et de l'infrastructure au sein d'une organisation.

Retour au glossaire

Besoin d'aide pour cartographier votre SI ?

Kabeen vous aide à inventorier, analyser et optimiser votre portefeuille d'applications.

Essayer gratuitement