Cartographier ses dépendances critiques : la méthode en 2h pour TPE et PME
Vous savez intuitivement que votre entreprise dépend de quelques fournisseurs, de quelques personnes clés, de quelques clients importants ou d’outils numériques essentiels.
Mais avez-vous déjà pris le temps de cartographier précisément ces dépendances ? La plupart des dirigeants de TPE et PME répondent non, faute de temps ou de méthode. Cet article vous propose une démarche simple, faisable en deux heures, sans cabinet de conseil ni outil spécialisé.
L’objectif n’est pas de produire un document parfait. C’est de transformer une inquiétude diffuse en vision claire de vos zones de fragilité et d’identifier deux ou trois actions prioritaires que vous pouvez engager dans les semaines qui viennent.
Cet exercice n’est ni un audit ISO, ni un Plan de Continuité d’Activité formel. C’est un point d’entrée concret dans une démarche de robustesse, à la portée d’une équipe de 5 ou 30 personnes. Si vous voulez un cadre théorique avant de vous lancer, notre article sur la différence entre robustesse et résilience pose les bases.
Pourquoi cartographier ses dépendances avant tout le reste
Les démarches classiques de gestion des risques en entreprise commencent souvent par lister les chocs possibles : cyberattaque, panne, défaillance fournisseur ou départ d’un collaborateur. C’est utile, mais cela part du mauvais bout.
La logique inverse est plus efficace.
Au lieu de partir des chocs, partez de vos points sensibles. Identifiez ce dont votre activité dépend vraiment, et examinez ce qui se passerait si chacun de ces points cédait. Cette approche, héritée du concept de SPOF (Single Point of Failure ou point de défaillance unique) dans l’industrie et l’informatique, est plus simple à conduire et plus actionnable.
Le principe est limpide : un SPOF est un élément dont la défaillance suffit à mettre votre entreprise en grande difficulté, parce qu’il n’a pas de remplaçant immédiat. Une PME jeune ou petite est, par nature, truffée de SPOF. Ce n’est pas un défaut, c’est une caractéristique. La question n’est pas de tous les éliminer, mais de les connaître pour pouvoir les piloter.
C’est exactement ce que fait l’analyse d’impact sur l’activité (Business Impact Analysis ou BIA), brique fondatrice de la norme ISO 22301 sur la continuité d’activité. Mais une démarche complète conforme à la norme suppose des semaines de travail. Pour une TPE ou une PME, on peut faire 80 % du chemin avec un BIA simplifié.
Avant de commencer : préparer le bon contexte
Bloquez deux heures dans votre agenda, idéalement dans un moment où vous ne serez pas dérangé. Si vous êtes seul dirigeant, faites l’exercice seul ou avec un associé. Si vous avez une équipe, conviez 2 ou 3 personnes clés : votre responsable opérationnel, votre référent comptable et votre référent commercial. Le regard croisé est précieux.
Préparez :
- Une feuille blanche ou un tableau (papier ou numérique selon vos préférences)
- La liste de vos principaux fournisseurs (extraite de votre comptabilité)
- La liste de vos principaux clients
- Un café, un thé ou ce que vous voulez
Vous n’avez besoin de rien d’autre.
Les 6 catégories de dépendances à examiner
Pour une TPE ou une PME, six catégories couvrent l’essentiel des dépendances. Examinez-les une par une, dans l’ordre.
1. Vos fournisseurs
Listez vos 5 à 10 fournisseurs les plus importants en volume d’achats. Pour chacun, posez-vous trois questions :
- Quelle part de mes achats représente-t-il ?
- Combien de temps me faudrait-il pour qualifier un fournisseur de remplacement ?
- Existe-t-il une alternative crédible aujourd’hui, ou faudrait-il en chercher une ?
Tout fournisseur qui représente plus de 30 % de vos achats sur une catégorie clé, ou qui prendrait plus de 3 mois à remplacer, est une dépendance critique.
Exemple concret : si vous êtes un boulanger et que 90 % de votre farine vient d’un seul moulin, vous avez identifié un SPOF clair. Cela ne veut pas dire qu’il faut changer demain. Cela veut dire que vous savez où vous êtes vulnérable.
2. Vos clients
Même exercice côté commercial.
Quels sont vos 3 à 5 clients les plus importants en chiffre d’affaires ? Quelle part de votre CA représentent-ils chacun ? Que se passerait-il si vous perdiez votre plus gros client demain ?
Un seuil largement reconnu, repris par le Blog du Dirigeant et plusieurs études de marché, situe le seuil de vigilance à 30 % du chiffre d’affaires sur un seul client. Au-delà, vous êtes en dépendance commerciale forte. Ce n’est pas illégal, ni même anormal pour beaucoup de PME, mais c’est une situation à connaître et à piloter.
Le risque n’est pas seulement la perte sèche du client. C’est aussi la perte de marge négociée à la baisse, le retard de paiement qui devient acceptable parce qu’on ne peut pas se permettre de fâcher ou la dépendance émotionnelle du dirigeant à un seul donneur d’ordre.
3. Vos compétences clés et personnes irremplaçables
C’est souvent la dépendance la plus douloureuse à examiner, parce qu’elle implique des personnes que vous appréciez et qui ne sont pas en cause.
Posez-vous la question simplement.
Si telle personne quittait l’entreprise demain, sur quelles compétences ou quelles informations auriez-vous un trou immédiat ? Le dirigeant lui-même est très souvent un SPOF majeur dans une TPE ou une PME : il porte la relation client clé, le savoir-faire technique, la mémoire des dossiers en cours, etc.
Identifiez 3 à 5 compétences ou personnes irremplaçables dans votre organisation. Pour chacune, demandez-vous : qui d’autre, en interne ou en externe, pourrait prendre le relais en cas d’absence prolongée ? La réponse “personne” doit déclencher un questionnement, pas une panique.
4. Vos outils et services numériques
Cette catégorie est devenue centrale, et souvent sous-estimée.
Listez les outils numériques sans lesquels votre entreprise s’arrête : votre logiciel de facturation ou de comptabilité, votre messagerie professionnelle, votre site internet, votre solution de paiement, votre système de gestion des stocks, votre CRM. Pour chacun, posez-vous trois questions :
- Mes données sont-elles accessibles si l’outil tombe ?
- Combien de temps puis-je tenir sans cet outil ?
- Que se passe-t-il si le fournisseur ferme, augmente brutalement ses prix, ou est victime d’une cyberattaque ?
La panne mondiale de juillet 2024 liée à une mise à jour défectueuse de CrowdStrike a paralysé environ 8,5 millions d’ordinateurs Windows en quelques heures, avec des pertes financières estimées à plus de 10 milliards de dollars pour les clients touchés. L’épisode est emblématique : la défaillance d’un acteur que personne ne connaît a affecté des entreprises qui n’avaient jamais entendu parler de lui.
Soyez particulièrement attentif aux dépendances aux GAFAM (Google, Microsoft, Amazon, Meta, Apple) et à leurs équivalents : ce sont par construction des SPOF à grande échelle. Notre série d’articles sur les GAFAM et leur emprise sur les entreprises explore cette question en profondeur.
5. Votre énergie et vos infrastructures physiques
Examinez vos dépendances physiques.
Que se passe-t-il en cas de coupure d’électricité prolongée ? D’inondation de votre local ? De canicule prolongée qui empêche le travail ? D’impossibilité d’accéder à votre site (manifestation, intempérie, panne de transport) ?
Pour beaucoup d’activités, ces scénarios étaient considérés comme exceptionnels il y a quinze ans. Ils sont devenus probables. Selon la Direction générale des Entreprises, 1,8 million d’établissements français ont été exposés à des épisodes de sécheresse entre 2015 et 2025.
6. Vos données et votre savoir-faire
Dernière catégorie, souvent oubliée mais essentielle.
Où sont stockées vos données clients, vos contrats, vos plans, vos procédures ? Une seule copie ou plusieurs ? Locales, cloud, ou les deux ? Si tout est dans un seul ordinateur portable ou dans un seul service cloud, vous avez un SPOF particulièrement dangereux.
Et que faire si votre savoir-faire propre n’est documenté nulle part, et repose entièrement sur la mémoire de quelques personnes ?
Synthétiser : la matrice "dépendance / impact"
Une fois ces six catégories examinées, vous avez devant vous une liste de 15 à 30 dépendances identifiées. Trop pour agir sur tout, et c’est bien le but.
Construisez maintenant une matrice simple à deux dimensions : probabilité de défaillance (faible, moyenne, élevée) et impact en cas de défaillance (mineur, sérieux, vital).
Probabilité \ Impact | Mineur | Sérieux | Vital |
Faible | À surveiller | À documenter | Action prioritaire |
Moyenne | À surveiller | Action à planifier | Action urgente |
Élevée | À documenter | Action urgente | Action immédiate |
Placez chaque dépendance identifiée dans une case. Vous obtenez immédiatement vos zones d’action prioritaires, en haut à droite.
L’erreur classique est de vouloir tout traiter en même temps. Concentrez-vous sur 2 ou 3 dépendances dans la zone “action urgente” ou “action immédiate”, et laissez le reste pour plus tard.
Du diagnostic à l'action : 4 leviers à votre portée
Une fois vos 2 ou 3 dépendances prioritaires identifiées, plusieurs leviers s’offrent à vous, qui ne demandent pas de budget conséquent.
Diversifier. Qualifier un deuxième fournisseur, prospecter un nouveau type de client, former une deuxième personne sur une compétence critique. La diversification n’a pas besoin d’être brutale ni complète. Elle peut être progressive : viser 70/30 avant de viser 50/50.
Documenter. Si une compétence repose sur une seule personne, documenter les procédures clés peut diviser le risque par deux en quelques heures de travail. Le savoir-faire écrit n’a pas la même valeur que le savoir-faire vivant, mais il existe.
Sauvegarder et redonder. Pour les données et les outils numériques, des sauvegardes hors ligne testées régulièrement, plusieurs canaux d’accès à vos services critiques, des comptes administrateur multiples plutôt qu’uniques. Beaucoup de ces actions sont gratuites ou à très faible coût.
Renégocier. Une dépendance forte à un fournisseur ou à un outil peut être l’occasion d’aller revoir le contrat, négocier des engagements de service, prévoir des clauses de sortie. Un fournisseur qui sait que vous savez n’est plus exactement dans la même posture.
Quand renouveler l'exercice ?
Une cartographie n’est pas un document figé. Elle évolue avec votre activité.
L’idéal est de renouveler l’exercice une fois par an, en variant éventuellement les participants pour avoir des regards neufs. Une revue plus rapide est utile après chaque changement majeur : nouveau client important, perte d’un collaborateur clé, changement d’outil informatique ou déménagement.
Vous pouvez aussi prévoir une mise à jour ponctuelle après un événement extérieur qui vous interroge : un fournisseur qui fait faillite dans votre secteur, une panne mondiale qui rappelle votre dépendance numérique, une canicule qui vous fait douter de la viabilité de vos locaux en l’état.
Et après ? Aller plus loin sans s'épuiser
Cet exercice de deux heures vous donne une base solide. Il ne remplace pas un Plan de Continuité d’Activité formel, ni un audit conforme à la norme ISO 22301, mais il vous met sur la bonne piste et vous évite l’erreur la plus fréquente : agir sans avoir compris où agir.
Si vous voulez prolonger la démarche au-delà de cette cartographie initiale, plusieurs voies existent.
Vous pouvez approfondir la dimension prospective en examinant les chocs structurels qui touchent désormais durablement les TPE et PME françaises. Notre article sur les 5 chocs majeurs à anticiper en 2026 propose un panorama du climat, du cyber, de la géopolitique, de l’IA et de l’énergie, à l’échelle de votre activité.
Vous pouvez aussi structurer votre démarche en l’inscrivant dans un cadre plus large de RSE et de robustesse. Notre dossier sur les 150 indicateurs RSE adaptés aux TPE et PME couvre notamment les indicateurs économiques liés à la dépendance et à la diversification.
Et si vous souhaitez un point d’entrée encore plus structuré, l’auto-diagnostic Robustesse gratuit que nous avons développé chez Fertilidée vous accompagne sur 15 minutes pour identifier vos zones de fragilité prioritaires. Il complète bien l’exercice de cartographie décrit ici.
Questions fréquentes
Combien de temps faut-il pour cartographier ses dépendances critiques ? Comptez 2 heures pour un premier passage couvrant les 6 catégories principales (fournisseurs, clients, compétences, outils numériques, infrastructures et données). Une démarche plus approfondie type Business Impact Analysis (BIA) conforme ISO 22301 demande plusieurs semaines, mais n’est pas nécessaire pour une TPE ou une PME en première intention.
Qu’est-ce qu’un point de défaillance unique (SPOF) en entreprise ? Un SPOF (Single Point of Failure) est un élément dont la défaillance suffit à mettre l’organisation en grande difficulté, parce qu’il n’a pas de remplaçant immédiat. Cela peut être un fournisseur unique, une compétence portée par une seule personne, un outil numérique critique sans alternative ou un local indispensable.
À partir de quel pourcentage du chiffre d’affaires un client devient-il une dépendance critique ? Un seuil largement reconnu situe la vigilance à 30 % du chiffre d’affaires sur un seul client. Au-delà, vous êtes en dépendance commerciale forte. La jurisprudence française commence à reconnaître la dépendance économique vers 20-25 %, mais les cas avérés concernent souvent des concentrations supérieures à 50 %.
Faut-il faire appel à un cabinet pour cartographier ses dépendances ? Pas pour un premier passage. Une TPE ou une PME peut conduire l’exercice en interne en quelques heures, avec deux ou trois personnes clés. Un accompagnement externe devient utile si vous voulez aller vers un Plan de Continuité d’Activité formel, une certification ISO 22301 ou si vous avez identifié des zones de fragilité complexes nécessitant une expertise spécifique.
À quelle fréquence faut-il renouveler la cartographie ? Une revue complète une fois par an suffit pour la plupart des TPE et PME. Une mise à jour ciblée est recommandée après tout changement majeur (nouveau client important, perte d’un collaborateur clé, changement d’outil informatique, déménagement) ou après un événement extérieur qui interroge un de vos points sensibles.
Pour aller plus loin
Cet article s’appuie sur le cadre de l’analyse d’impact sur l’activité (Business Impact Analysis), brique fondatrice de la norme ISO 22301, ainsi que sur le concept de SPOF (Single Point of Failure) issu de l’ingénierie des systèmes. Sur la posture de robustesse organisationnelle, l’ouvrage L’Entreprise robuste d’Olivier Hamant, Olivier Charbonnier et Sandra Enlart (Éditions Odile Jacob, 2025) reste la référence francophone.
Côté Fertilidée, vous pouvez prolonger cette réflexion avec notre article sur la différence entre robustesse et résilience, notre panorama des 5 chocs majeurs à anticiper en 2026, notre dossier sur comment protéger votre entreprise face à la défaillance d’un fournisseur clé ou encore notre série sur l’emprise des GAFAM dans les entreprises.