Identifier et réduire les vulnérabilités de son organisation : le guide de pilotage stratégique pour les ESN - ESNConnect#4

Dans le secteur des ESN, la croissance est souvent le maître-mot. Mais cette expansion rapide, si elle est source d'opportunités, agit parfois comme un voile jeté sur des failles silencieuses. Une dépendance économique trop forte à un client unique, une obsolescence technologique qui guette, un désengagement des consultants en période d'intercontrat, ou encore la concentration d'un savoir critique sur quelques experts clés : ces vulnérabilités restent souvent invisibles jusqu’à ce qu’elles ne deviennent critiques.

Lors de la 4ème édition de l’ESN Connect, Thierry BONTEMS (CNRS et TB Conseil) et Sabine GOULIN (Accompagnement Phare) ont animé un atelier de pilotage stratégique résolument pragmatique : "Identifier et réduire les vulnérabilités de son organisation". L'objectif ? Offrir aux ESN un temps de recul collectif et une méthode éprouvée pour cartographier leurs zones de fragilité et sécuriser leur avenir.

Un workshop qui a marqué autant nos participants que les Boonders présents.

Si vous vous demandez régulièrement comment anticiper la perte de votre meilleur ingénieur, comment protéger les données de vos clients face aux cyberattaques, ou comment survivre à la perte de votre compte principal, cet article est fait pour vous.

Plongée au cœur d'une méthode  : la méthode AVoID (Analyse des Vulnérabilités  pOur décIDer). Développée par Thierry et Sabine depuis 15 ans, elle s’inspire de la norme ISO 31000, et transforme l'angoisse du risque en un véritable levier de performance.

Démystifier le risque : de quoi parle-t-on vraiment ?

Dans notre quotidien de dirigeants ou de managers, nous passons notre temps à éteindre des incendies. Nous gérons des "dysfonctionnements". Mais un dysfonctionnement n'est que la partie émergée de l'iceberg.

Pour poser des bases saines, le workshop s'est appuyé sur la norme ISO 31000, référence internationale en matière de management des risques. La définition officielle y est implacable :

« Le risque, c'est l'effet de l'incertitude sur la réalisation d'un objectif »

Pour le comprendre, les animateurs ont utilisé une analogie redoutable de simplicité : vous prenez la décision d'arriver à une réunion matinale à 8h30 (votre objectif prévu). Vous prenez le métro. Un "incident voyageur" survient (le danger). Vous arrivez finalement à 10h00 (l'état atteint). L'écart de temps entre les deux, c'est la conséquence du risque.

Il est crucial de comprendre une nuance fondamentale : tous les dysfonctionnements de votre ESN sont des risques qui se sont matérialisés, mais tous les risques ne sont pas des dysfonctionnements. Un séisme est un risque extrême, mais il n'est pas un dysfonctionnement interne à votre entreprise. Le danger amène le risque, mais le risque n'est que la réalisation de ce danger.

En adoptant cette grille de lecture, on arrête de subir les problèmes au jour le jour pour commencer à modéliser son organisation et à anticiper les incertitudes.

Les vulnérabilités des ESN : des problématiques communes entre participants

Lors de l'atelier, la force de l'intelligence collective a permis de mettre en lumière les risques spécifiques qui empêchent les dirigeants d'ESN de dormir. En listant les risques bruts, quatre grandes typologies de vulnérabilités, propres à nos modèles d'affaires, ont rapidement émergé :

• Le risque RH et la fuite des savoirs : c'est le cœur du réacteur d'une ESN. Comment préserver la connaissance quand elle réside dans la tête d'un consultant placé chez un client ? Le risque de voir un collaborateur clé partir avec un savoir-faire différenciant, ou le "sous-staffing" chronique sur des compétences critiques, sont des vulnérabilités majeures. L'exemple de "Roger", l'expert ultime en langage Cobol de l'entreprise qui part à la retraite dans deux ans, a fait sourire la salle, mais illustre une réalité préoccupante : la concentration du savoir sur quelques ressources clés.
• La dépendance économique à un compte client :  que se passe-t-il si votre client principal, qui représente une part écrasante de votre activité, décide soudainement de changer de socle technologique ou de réduire ses prestataires ?
• Le risque technologique : ou l'obsolescence rapide des compétences dans un marché hyper-concurrentiel. Si vos ingénieurs ne sont pas formés aux dernières technologies (comme l'IA générative abordée dans un autre workshop), votre offre devient caduque.
• Le risque Cyber et Légal (RGPD) : une attaque bloquant le Système d'Information (interne ou chez le client) par la faille d'un de vos administrateurs, exposant l'entreprise à des sanctions légales et à une perte de confiance fatale.

Face à ce constat vertigineux, par où commencer ? C'est là que la méthodologie entre en jeu.

La méthode pas-à-pas : cartographier en intelligence collective

La première règle d'or partagée par Thierry et Sabine est simple : on n'analyse jamais un risque seul dans son bureau de direction. L'approche préconisée repose sur l'intelligence collective : réunissez un groupe d'une dizaine de personnes incluant des experts techniques, des commerciaux, des RH, et même des clients. C'est la multiplication des angles de vue qui garantit la précision de l'analyse.

Ensuite, la méthode s'appuie sur une analyse systémique. Considérez votre problème (exemple : la difficulté de recrutement) comme une "boîte noire" qui transforme des entrées en sorties. Analysez cette boîte à travers trois dimensions incontournables : la Technologie, l'Organisation (les processus/règles), et l'Humain. Pour aller plus loin, vous pouvez même utiliser le diagramme d'Ishikawa (les fameux 7M : Main d’œuvre, Matière, Méthode, Management, Milieu, Matériel, Moyens financiers) pour traquer la cause racine de vos failles.

”L’objectif n’est pas d’être exhaustif mais d’identifier les 20 % de risques qui font 80 % des problèmes.“

L'évaluation : impact et probabilité

Une fois votre risque identifié (avec un intitulé court et un descriptif précis), il faut l'évaluer en termes d'Impact et de Probabilité. Pour cela, le workshop utilise une grille d'audit redoutable à 5 niveaux, issue des travaux de l'institut KPMG :

• L'Impact s'échelonne de "Non significatif" (l'événement est absorbé par l'activité normale) à "Très significatif" (un désastre provoquant l'effondrement du système).
• La Probabilité s'échelonne de "Rare" (cas exceptionnels, <10%) à "Quasiment certain" (>90%).

Lors de l'atelier, les participants ont matérialisé cette évaluation en collant des gommettes sur une matrice visuelle. Une leçon cruciale s'en dégage : l'objectif n'est pas de minimiser la note pour se rassurer. Si le risque est dans le rouge, il doit être dans le rouge.

Il faut d'ailleurs prêter une attention particulière au risque rare mais extrême. L'analogie de la passerelle est parlante : traverser une passerelle hautement sécurisée rend la probabilité de chute extrêmement rare. Mais si vous tombez, l'impact est fatal. Ce type de risque ne doit jamais être ignoré sous prétexte qu'il a peu de chances de se produire.

De la Prévention à la Protection : utilisez votre "baguette magique"

C'est ici que l'atelier devient purement actionnable. Une fois le risque positionné, il faut identifier comment le maîtriser. Il est impératif de distinguer deux leviers d'action qui sont souvent confondus :

1. La Prévention : elle agit sur la probabilité d'occurrence.
2. La Protection : elle agit sur l'impact (les conséquences) si le risque se réalise.

L'exemple de la moto est parfait pour le retenir : mettre un gilet jaune fluorescent pour être vu, c'est de la prévention (minimiser la probabilité de l'accident). Porter un blouson coqué, c'est de la protection (minimiser l'impact de la chute).

Étape 1 : Recenser l'existant

Quels sont vos moyens de maîtrise actuels ? Si l'on reprend notre risque RH (difficulté à retenir les talents), une protection existante pourrait être d'offrir un salaire attractif et un bon CE. Une prévention existante pourrait être un questionnaire mensuel sur la santé mentale. Il est vital d'évaluer la pertinence réelle de ces mesures existantes. Parfois, on s'aperçoit qu'une procédure lourde est en place mais qu'elle ne sert strictement à rien.

Étape 2 : Inventer l'avenir (la méthode de la baguette magique)

Que feriez-vous pour maîtriser ce risque si vous n'aviez aucune contrainte financière, matérielle ou spatiale ? Ce passage par l'imaginaire débridé permet de sortir de nos schémas de pensée habituels et limitants. Toujours sur notre risque RH, cela pourrait donner : protection (mettre en place des parts variables massives, 100% de télétravail), prévention (des one-to-one obligatoires avec suivi d'impact, des plans de reconversion "reskilling" ciblés).

Étape 3 : le test de réalité

Une fois ces idées jetées sur le papier, on les soumet à l'épreuve du réel en évaluant trois critères : le coût, le délai, et la facilité de mise en œuvre.

Prise de décision : Go, No Go et matrice de vulnérabilité

Toutes ces données (risques bruts, moyens existants, moyens à inventer, coûts/délais) sont ensuite consolidées dans un outil de cartographie global (type classeur Excel matriciel). La magie opère alors de manière visuelle pour le dirigeant.

On observe alors le "glissement" du risque. Si je mets en place mon plan d'action, mon risque passe-t-il de la case rouge (très élevé) à la case jaune ou blanche (tolérable) ?

• Les "Quick Wins" : si une action est facile à mettre en place, peu coûteuse, rapide, et qu'elle fait chuter la criticité de votre risque... c'est un feu vert immédiat, il faut y aller !.
• L'efficience impitoyable : à l'inverse, l'outil met en lumière une vérité parfois douloureuse. Vous avez imaginé des plans d'action complexes, mais sur la matrice, le risque ne bouge pas d'un iota. Le constat est clair : l'action est inutile. L'enjeu n'est pas de faire "plus", mais de faire ce qui réduit réellement la vulnérabilité.
• Les risques non maîtrisables : enfin, certains risques resteront obstinément dans le rouge, quoi que vous fassiez (exemple : un risque géopolitique, ou l'arrivée soudaine d'une pandémie). Face à ces risques résiduels, c'est le rôle exclusif du dirigeant de trancher : Go ou No Go. Soit on accepte le risque (en l'assurant, par exemple), soit on se retire du projet ou du marché. Pour les autres zones, on entre dans une logique de consolidation (mettre en place des processus d'assurance qualité) ou de simple surveillance.

Conclusion : reprendre le contrôle de son destin

En sortant de cet atelier animé par Thierry BONTEMS et Sabine GOULIN, une réalité s'impose : la gestion des risques n'est pas une contrainte administrative rébarbative, c'est le cœur même du pilotage stratégique d'une ESN.

« Le sujet, ce n'est pas d'éliminer les risques. C'est de savoir lesquels on accepte… et lesquels on décide vraiment de traiter. »

En cartographiant vos failles de manière collective, en distinguant clairement prévention et protection, et en évaluant impitoyablement l'efficience de vos plans d'actions, vous ne subirez plus les dysfonctionnements. Vous ferez de vos vulnérabilités identifiées le point de départ d'une entreprise plus résiliente, prête à absorber les chocs et à sécuriser sa croissance. À vous de jouer : prenez une heure cette semaine, réunissez quelques collaborateurs clés, choisissez un risque majeur (votre expert Cobol, votre dépendance client, votre cybersécurité)... et sortez vos gommettes !

👉 Pour aller plus loin, lisez notre article “Cartographie du SI : les 7 frictions qui freinent votre croissance en ESN”.

Retrouvez nos autres workshops

• Grandir sans se désorganiser : animé par Annabelle FAITROUNI (Dirigeante de CAPexcellA), cet atelier a abordé les signaux faibles qui freinent l'efficacité lors des phases de forte croissance et les leviers pour faire évoluer ses processus et son SI en gardant toute son agilité.
• L'IA comme catalyseur de transformation : Audrey GUILLOUX (Head of IT & Digital Transformation chez Klanik) a partagé son retour d'expérience sur l'activation de l'intelligence collective, pour faire de l'IA un outil concret porté par les équipes elles-mêmes.