"Exploiter librement : disposer en interne des compétences nécessaires pour opérer, faire évoluer et auditer ses systèmes sans dépendance excessive à des tiers."
Cartographier les compétences critiques, mesurer la dépendance ESN, construire un plan de transfert et piloter un indicateur de souveraineté humaine.
CDO, CIO, DRH IT, responsables sourcing, équipes architecture, product owners data & IA.
Data engineering, MLOps, gouvernance data, architecture cloud, cybersécurité, IA générative, DORA operational knowledge.
½ journée (3h30) — 2 séquences + 1 atelier cartographie et diagnostic.
L'externalisation des compétences techniques est une décision d'efficience à court terme qui peut devenir une vulnérabilité stratégique à long terme. DORA nomme explicitement ce risque.
Les entités financières doivent maintenir la compétence interne suffisante pour évaluer les risques liés aux prestataires tiers de TIC, superviser les services externalisés et exercer le droit d'audit. La méconnaissance technique interne ne peut pas être un alibi de non-conformité DORA.
Art. 30.2.e : droit d'audit et d'inspection effectif — impossible sans compétence interne pour conduire l'audit.
Les modèles IA imposent une nouvelle forme de dépendance de compétences : si seul le fournisseur comprend le fonctionnement du modèle, l'organisation ne peut ni l'auditer, ni détecter ses biais, ni évaluer sa conformité EU AI Act. C'est une violation du Droit 2 (comprendre) ET du Droit 4 (exploiter librement).
Niveau de maîtrise interne recommandé pour une organisation qui veut exercer pleinement le Droit 4. Évaluation sur une échelle 0-100%.
Le pourcentage indique la proportion minimale de collaborateurs internes devant maîtriser la compétence, sur les équipes qui l'utilisent. Ex. : 80% en architecture data = sur 10 architectes, 8 doivent être internes ou très senior-pilotés en interne.
La dépendance se mesure sur 4 axes. Le croisement donne un score de risque souveraineté exploitable en COMEX.
| Domaine externalisé | Criticité métier (1-5) | Connaissance interne (%) | Délai de sortie estimé | Doc disponible | Score risque |
|---|---|---|---|---|---|
| Plateforme data centrale | 5 — Vital | 15% | > 18 mois | Chez ESN | 🔴 CRITIQUE |
| Modèles IA en production | 4 — Élevé | 20% | 12 mois | Partielle | 🔴 CRITIQUE |
| Reporting réglementaire | 5 — Vital | 45% | 9 mois | Interne | 🟠 ÉLEVÉ |
| Infrastructure cloud | 3 — Moyen | 40% | 6 mois | Partielle | 🟠 ÉLEVÉ |
| Cybersécurité opérationnelle | 4 — Élevé | 65% | 3 mois | Interne | 🟢 MAÎTRISÉ |
| Analytics & BI | 2 — Faible | 70% | 2 mois | Interne | 🟢 MAÎTRISÉ |
Seuil recommandé : TSH ≥ 60% pour les organisations financières soumises à DORA. En dessous de 40%, le risque opérationnel devient systémique.
Un plan de transfert de compétences est une opération stratégique, pas un simple programme RH. Il nécessite une gouvernance dédiée et un sponsor COMEX.
| Clause | Contenu minimal | Délai d'application |
|---|---|---|
| Reversibilité documentée | L'ESN fournit un plan de sortie détaillé dès le début de la mission, actualisé annuellement | J+30 de la mission |
| Documentation au fil de l'eau | Toute décision d'architecture est documentée en interne, dans les outils du client | Continu |
| Transfert de compétences obligatoire | Chaque mission > 6 mois inclut une phase formelle de transfert vers un binôme interne | M+4 minimum |
| Propriété des artefacts | Tous les codes, modèles, notebooks et configurations appartiennent au client dès leur création | Clause initiale |
| Audit de dépendance | Revue semestrielle du TSH avec l'ESN ; plan de réduction si TSH < seuil cible | Semestriel |
Art. 28 et 30 : l'entité financière doit conserver la capacité d'évaluer et superviser ses prestataires TIC. Cela nécessite une compétence interne réelle, pas une délégation totale.
Taux de Souveraineté Humaine ≥ 60% = seuil minimal de sécurité opérationnelle. En dessous, la résilience DORA est compromise. À piloter en tableau de bord CDO/CIO.
Ne pas comprendre un modèle IA en production = incapacité à l'auditer (EU AI Act Art. 17), à détecter ses biais, à justifier ses décisions au régulateur.
Une documentation technique détenue par un prestataire n'existe pas pour l'organisation. Chaque runbook, chaque ADR, chaque schéma d'architecture doit être propriété interne.
Les 5 clauses de transfert ne sont pas du luxe : ce sont des filets de sécurité souveraine. Les négocier dès le début est infiniment moins coûteux qu'une sortie non planifiée.
① Matrice de dépendance remplie par domaine ② Calcul du TSH actuel ③ Plan de transfert priorisé sur 18 mois ④ 5 clauses contractuelles à ajouter dès la prochaine renégociation.
"Une compétence que vous ne pouvez pas exercer en interne n'est pas une compétence que vous possédez — c'est une compétence que vous louez. Et un loyer peut toujours être augmenté."