TL;DR
- Le problème : Les achats IT soulèvent des enjeux spécifiques (SLA techniques, conformité RGPD, risque de dépendance) que les grilles génériques ne couvrent pas.
- La solution rapide : Structurer une grille avec des critères pondérés par domaine (SLA, sécurité, réversibilité) et traiter certains critères comme éliminatoires.
- L’outil recommandé : Objectively (plan gratuit disponible, sans CB).
Sommaire
Les enjeux spécifiques des achats IT
Acheter un prestataire informatique, ce n’est pas acheter des fournitures de bureau. Le niveau de dépendance est souvent élevé, les conséquences d’une défaillance immédiates, et le niveau technique des engagements difficile à évaluer sans les bons critères.
Trois risques concentrent l’essentiel des problèmes en pratique.
La dépendance. Plus votre système d’information s’appuie sur un prestataire, plus le coût de sortie augmente. Certains fournisseurs l’ont bien compris et construisent leur modèle sur ce lock-in. Évaluer la réversibilité dès la sélection, c’est vous protéger avant que la situation devienne irreversible.
La sécurité et la conformité. Votre prestataire accède souvent à des données sensibles : RH, clients, financiers. Si son niveau de sécurité est insuffisant, c’est votre responsabilité qui est engagée en cas d’incident. Le RGPD est très clair là-dessus : le responsable de traitement (vous) reste responsable des sous-traitants qu’il choisit.
La qualité de service réelle. Les tableaux de bord fournis par les prestataires sont rarement neutres. Un SLA à 99,9 % sur le papier peut cacher une définition de « disponibilité » tellement restrictive qu’elle exclut la plupart des incidents. Évaluer la performance réelle demande de définir vos propres métriques.
Ce qui change en IT par rapport aux achats classiques : dans un achat de fournitures, un fournisseur défaillant est remplacé en quelques jours. En IT, une migration vers un concurrent peut prendre 6 à 18 mois. L’évaluation initiale est donc encore plus critique.
Les critères d’évaluation indispensables pour l’IT
Une grille d’évaluation fournisseur classique couvre généralement la qualité, les coûts et les délais. En IT, il faut aller plus loin. Voici les trois domaines à intégrer obligatoirement.
Respect des SLA et disponibilité
Un SLA (Service Level Agreement) est un accord contractuel sur le niveau de service attendu. En pratique, évaluer le respect des SLA demande de s’appuyer sur des métriques précises. Pas sur la parole du commercial.
Voici les indicateurs à intégrer dans votre grille :
| Métrique | Définition | Seuil acceptable | Seuil éliminatoire |
|---|---|---|---|
| Disponibilité (Uptime) | % de temps où le service est opérationnel | ≥ 99,5 % | < 99,0 % |
| MTTR | Mean Time To Repair — durée moyenne de résolution | ≤ 4h (incidents P1) | > 8h (incidents P1) |
| MTTD | Mean Time To Detect — délai de détection incident | ≤ 30 min | > 2h |
| Taux de résolution J+1 | % d’incidents résolus en moins de 24h | ≥ 85 % | < 70 % |
| RTO / RPO | Objectifs de reprise d’activité / de données en cas de sinistre | Défini contractuellement | Absent du contrat |
| Escalades non résolues | Nombre de tickets re-ouverts ou escaladés hors délai | < 5 % du volume | > 15 % du volume |
Ces données doivent provenir de vos propres outils de ticketing, pas des rapports fournis par le prestataire. Si vous n’avez pas accès à ces données, c’est déjà un élément à noter dans votre grille.
Cybersécurité et conformité RGPD
C’est le domaine où les enjeux sont les plus forts, et où les grilles d’évaluation génériques pèchent le plus. Un prestataire qui traite vos données clients ou RH doit répondre à des critères très spécifiques.
Les critères à intégrer dans votre grille de critères d’évaluation :
- Certifications sécurité : ISO 27001, SOC 2 Type II, HDS (pour les données de santé). Leur présence ou absence peut être un critère éliminatoire.
- Localisation des données : hébergement en UE ou hors UE. Un hébergement aux États-Unis soumet vos données au Cloud Act américain, incompatible avec certaines exigences RGPD.
- Politique de gestion des accès : principe du moindre privilège, authentification multi-facteurs pour les accès à vos systèmes.
- Chiffrement des données : au repos et en transit. Protocoles utilisés (TLS 1.2 minimum).
- Plan de réponse aux incidents : procédure documentée, délai de notification en cas de violation (72h obligatoires sous RGPD).
- Sous-traitance : liste des sous-traitants, chaîne de responsabilité documentée.
Point RGPD critique : en tant que responsable de traitement, vous êtes tenus de conclure un Accord de Traitement des Données (DPA) avec tout prestataire qui accède à des données personnelles. Vérifier son existence et sa conformité doit figurer dans votre grille comme critère éliminatoire. Source : CNIL — RGPD et sous-traitance.
Réversibilité et innovation
Deux dimensions souvent oubliées dans les évaluations IT.
La réversibilité mesure votre capacité à changer de prestataire sans catastrophe. Concrètement : formats d’export des données (standards ouverts ou propriétaires ?), délai contractuel de transition, niveau de documentation fourni, propriété des développements réalisés.
L’innovation est plus subjective, mais pertinente sur des contrats longs. Un prestataire qui stagne technologiquement vous fera porter un retard progressif. Vous pouvez noter : fréquence des mises à jour, roadmap produit accessible, capacité à intégrer de nouvelles exigences réglementaires rapidement.
Ressource gratuite
Kit Évaluation Fournisseur — Excel prêt à l'emploi
Grille QCD + Grille RSE (CSRD-ready) + comparaison automatique des scores. Renseignez vos notes, le classement se calcule tout seul.
Les limites d’Excel pour évaluer des fournisseurs IT
Excel est l’outil par défaut dans la plupart des équipes achats. Pour un appel d’offres simple avec peu de critères, il peut faire l’affaire. Mais en IT, il atteint ses limites rapidement. Souvent là où on ne l’attend pas.
Les critères éliminatoires sont impossibles à formaliser. Dans une grille IT bien construite, un prestataire sans ISO 27001 ou sans DPA RGPD ne doit même pas être comparé aux autres. Dans Excel, rien n’empêche quelqu’un de continuer à saisir des notes après qu’un critère éliminatoire a été décoché.
Les audits sécurité sont difficiles à intégrer. Un audit de sécurité produit des documents techniques (certificats, rapports de pentest, PIA). Dans Excel, ces éléments se retrouvent dans des colonnes « Commentaires » sans structure. Impossible de comparer deux prestataires sur ces bases.
La collaboration multi-évaluateurs devient chaotique. En IT, l’évaluation implique souvent plusieurs profils : DSI, RSSI, acheteur, direction opérationnelle. Chacun a un angle différent et un poids différent dans la décision finale. Gérer ça avec plusieurs versions d’un même Excel, c’est la garantie de finir avec des notes incompatibles.
La traçabilité est inexistante. Si une décision est contestée six mois plus tard, ou si vous devez justifier votre choix dans le cadre d’un audit, qui a noté quoi et quand ? Excel ne le sait pas.
Pour aller plus loin sur les limites d’Excel dans les évaluations achats, consultez notre comparatif détaillé Excel vs logiciel d’évaluation.
Comment piloter la performance IT avec un outil dédié
En développant Objectively, j’ai eu exactement ce problème en tête : comment permettre à des équipes non homogènes (technique + achat) de noter des prestataires sur des critères très différents, avec des poids différents selon le profil ?
Voici ce que change un outil de scoring fournisseur structuré dans ce contexte :
- Critères éliminatoires formalisés. Vous définissez quels critères doivent obtenir un score minimum pour que le prestataire soit qualifié. En dessous, il est automatiquement exclu du comparatif.
- Pondérations par domaine. Sécurité à 35 %, SLA à 30 %, réversibilité à 20 %, innovation à 15 %. Chaque évaluateur note ce qu’il connaît, et la pondération s’applique automatiquement.
- Multi-évaluateurs avec poids différents. Le RSSI a un poids plus fort sur la sécurité, l’acheteur sur les conditions commerciales. Cela se configure directement dans l’outil, pas dans une formule Excel fragile.
- Traçabilité complète. Qui a noté, quand, quelle valeur. Exportable pour un audit ou une séance de revue comité.
La méthode de pondération des critères est exactement la même qu’en achats classiques. C’est la structure des critères IT qui change, pas la logique de calcul.
Exemple de répartition des poids dans Objectively pour un appel d’offres hébergement :
Critère Sécurité & Conformité : 35 % (dont ISO 27001, RGPD, localisation données) • Critère SLA & Disponibilité : 30 % (uptime, MTTR, RTO/RPO) • Critère Réversibilité : 20 % (formats export, doc technique, durée transition) • Critère Innovation : 15 % (roadmap, cadence mises à jour).
Les critères « Localisation données hors UE » et « Absence de DPA RGPD » sont configurés comme éliminatoires : score zéro = exclusion.
Ce type de configuration n’est pas possible dans un tableur standard. Et c’est précisément le problème que j’ai voulu résoudre en construisant cet outil.
Plan gratuit disponible, sans CB
FAQ
Ressource gratuite
Kit Évaluation Fournisseur — Excel prêt à l'emploi
Grille QCD + Grille RSE (CSRD-ready) + comparaison automatique des scores. Renseignez vos notes, le classement se calcule tout seul.
Conclusion
L’évaluation de la performance des fournisseurs IT n’est pas une variante de l’évaluation fournisseur classique. C’est un cas à part, avec des critères spécifiques (SLA, RGPD, réversibilité), des risques plus élevés, et une nécessité de collaboration entre profils techniques et acheteurs.
La bonne nouvelle : la logique reste la même. Une grille pondérée, des critères éliminatoires bien définis, et un processus qui trace les décisions. Ce que change l’IT, c’est le contenu des critères. Pas la méthode.
Ne laissez pas la performance de vos fournisseurs IT au hasard. Définissez vos critères, évaluez le respect des SLA et sécurisez vos partenariats technologiques.
Prêt à structurer votre évaluation fournisseurs IT ?
Testez Objectively gratuitement : 1 consultation, 5 options, sans engagement.
