Que doit inclure une bonne analyse des risques des fournisseurs de semi-conducteurs ? (Partie 1)

Quels sont les éléments à prendre en compte pour les entreprises lors de la mise en place d’évaluations des risques pour leurs fournisseurs de semi-conducteurs ?

Que doit inclure une bonne analyse des risques des fournisseurs de semi-conducteurs ? (Partie 1)

Cet article est la première partie d’une série en deux volets mettant en avant les analyses du CEO de Z2Data, Mohammad Ahmad, sur la manière dont une nouvelle génération de perturbations modifie la façon dont les entreprises pensent et mettent en œuvre l’analyse des risques fournisseurs, ainsi que les actions que les fabricants doivent entreprendre pour réussir leurs évaluations de risques concernant leurs fournisseurs de semi-conducteurs. Lisez la Partie 2, « Developing and Implementing a Risk Model for the Semiconductor Supply Chain », ici.  

La pénurie de semi-conducteurs qui a débuté en 2020 et s’est prolongée jusqu’en 2023 a constitué une calamité pour la chaîne d’approvisionnement, quel que soit l’indicateur considéré. Cette perturbation historique a paralysé la production et bouleversé la dynamique de l’offre et de la demande dans de nombreux secteurs industriels d’envergure, coûtant à l’économie des États-Unis plus de 200 milliards de dollars rien qu’en 2021 et entraînant des milliers de suppressions d’emplois ainsi que des hausses de prix durables sur des produits essentiels. 

Pour de nombreuses organisations, cette expérience, ainsi que d’autres difficultés liées à l’approvisionnement et aux achats au cours des quatre dernières années, symbolise la prégnance et la montée en puissance du risque fournisseur. Les entreprises qui auparavant géraient les perturbations de façon informelle ou ponctuelle se sont soudainement rendu compte de l’urgence — voire de l’impératif stratégique — d’adopter une démarche plus proactive et anticipée pour évaluer les menaces auxquelles leur chaîne d’approvisionnement et les sociétés qui la soutiennent sont confrontées. En d’autres termes, il y a eu une prise de conscience collective que les entreprises pouvaient identifier, évaluer et atténuer les risques avant qu’ils ne se traduisent par l’arrêt d’une usine, un problème réglementaire ou une crise d’obsolescence. 

Qu’est-ce qu’une analyse de risque fournisseur ?

Heureusement, les fabricants, importateurs et autres acteurs souhaitant analyser les risques pesant sur leurs fournisseurs disposent d’un historique établi dans ce domaine. Les analyses de risques fournisseurs existent, sous différentes formes, depuis plusieurs décennies. Une analyse de risque — ou évaluation de risque — est une méthodologie ou un ensemble de critères permettant d’identifier et d’évaluer les risques posés par un fournisseur donné. Ces évaluations structurées sont un élément clé du domaine plus vaste de la gestion des risques liés à la chaîne d’approvisionnement, que le National Institute of Standards and Technology (NIST) définit de manière utile comme étant « un processus systématique de gestion du risque dans la chaîne d’approvisionnement, basé sur l’identification des susceptibilités, vulnérabilités et menaces tout au long de la chaîne, et le développement de stratégies d’atténuation face à ces menaces ».

Une analyse de risque — aussi appelée évaluation de risque — est une méthodologie ou un ensemble de critères permettant d’identifier et d’évaluer les risques posés par un fournisseur donné.

Les évaluations de risques fournisseurs sont une pierre angulaire d’une bonne gestion des risques de la chaîne d’approvisionnement. En développant et en mettant en œuvre ces revues ciblées, les organisations soumettent les fournisseurs potentiels à un processus de qualification standardisé, et obtiennent une compréhension détaillée et précise de la manière dont certaines vulnérabilités historiques spécifiques pourraient réapparaître et générer des coûts importants. Il s’agit également d’une des stratégies les plus efficaces pour rester agile et réactif face aux évolutions de votre chaîne d’approvisionnement. 

« C’est très important, car cela vous permet de garder une longueur d’avance sur les problèmes potentiels qui impacteraient votre chaîne d’approvisionnement, donc la livraison ou la fabrication de votre produit final », explique Mohammad Ahmad, CEO de la plateforme de gestion des risques chaîne d’approvisionnement Z2Data. Mais ces évaluations fournissent plus que de simples profils de risques, comme le souligne Ahmad. Ce sont aussi des dossiers exhaustifs sur les fournisseurs, susceptibles d’appuyer des décisions critiques dans une grande variété de situations. « Aujourd’hui, un défi majeur est de savoir quelle connaissance réelle vous avez de vos fournisseurs », dit-il. « Tout le monde veut de la visibilité sur ses fournisseurs. »

« Aujourd’hui, un défi majeur est de savoir quelle connaissance réelle vous avez de vos fournisseurs », dit-il. « Tout le monde veut de la visibilité sur ses fournisseurs. »

L’analyse des risques fournisseurs n’est en rien une pratique nouvelle. Il s’agit toutefois d’un outil qui passe progressivement du statut de mesure discrétionnaire à celui de prérequis central à une gestion efficace des risques dans la chaîne d’approvisionnement. En cette décennie 2020 déjà marquée par la complexité et la turbulence, les entreprises dotées de ressources pour identifier et analyser les risques — et ainsi gagner en transparence avec leurs fournisseurs — bénéficient d’un avantage stratégique décisif.

Les critères les plus importants pour une analyse de risque fournisseur

Historiquement, les fabricants menant une analyse de risque se concentraient sur quelques aspects fondamentaux de leurs fournisseurs : la santé financière, la qualité des produits et la réputation. Les entreprises évaluaient le niveau d’exposition de leurs fournisseurs, puis produisaient un score composite censé refléter fidèlement le profil de risque global du fournisseur. 

Aujourd’hui, le paysage des risques pour les fabricants et leurs chaînes d’approvisionnement s’est densifié et durci. Aux menaces structurelles s’ajoutent des problématiques émergentes liées à notre environnement contemporain et au contexte géopolitique, avec l’intervention croissante d’acteurs humains et de facteurs naturels qui aggravent la volatilité.  Les entreprises doivent désormais élargir leur liste de critères de risque à des aspects tels que l’historique de conformité réglementaire et la localisation géographique. Ce dernier point a pris une importance particulière, car il conditionne la vulnérabilité du fournisseur face à des risques connexes : catastrophes naturelles, tensions géopolitiques ou conflits commerciaux. 

Aujourd’hui, le paysage des risques pour les fabricants et leurs chaînes d’approvisionnement s’est densifié et durci.

Les entreprises ont toujours été confrontées au risque que des fournisseurs soient impactés par des phénomènes climatiques extrêmes (typhons, tornades, inondations). Mais l’influence croissante du changement climatique a intensifié la fréquence de ces catastrophes. Selon l’UNDRR (United Nations Office for Disaster Risk Reduction), le nombre de « catastrophes d’envergure » sur la planète a plus que triplé depuis le début du siècle, atteignant désormais entre 350 et 500 par an. De nombreuses projections climatiques prévoient en outre une augmentation rapide de ces chiffres pour les années à venir. 

Au cours des cinq dernières années, les grands États et organisations internationales ont commencé à adopter des mesures plus concrètes pour responsabiliser les entreprises vis-à-vis de leur contribution au réchauffement climatique. Les démarches de durabilité et les exigences ESG (environnement, social et gouvernance) sont peu à peu intégrées dans des réglementations concrètes à valeur légale partout dans le monde. Cette nouvelle vague de réglementations représente une autre catégorie de risques pour les fabricants et acteurs de la chaîne d’approvisionnement, qui doivent désormais respecter toute une série de nouvelles obligations de durabilité. À mesure que des directives telles que CSRD, CS3D et les nouvelles exigences de la SEC sur la divulgation climatique entrent en vigueur à l’échelle mondiale, les fournisseurs doivent naviguer dans une zone de vulnérabilité inédite.

À mesure que des directives telles que CSRD, CS3D et les nouvelles exigences de la SEC sur la divulgation climatique entrent en vigueur à l’échelle mondiale, les fournisseurs doivent naviguer dans une zone de vulnérabilité inédite.

Comme si cela ne suffisait pas, on constate une émergence rapide des risques cyber. Cette menace s’est illustrée de façon inquiétante à travers plusieurs cyberattaques récentes d’une ampleur inédite. L’attaque SolarWinds menée par des agents russes en 2020 et le piratage de Microsoft Exchange en 2021 par un groupe lié au ministère chinois de la Sécurité d’État ont démontré l’évolution alarmante de la cyberguerre ces dix dernières années. Alors que ces groupes de hackers très sophistiqués et leurs sponsors gouvernementaux deviennent toujours plus audacieux et ambitieux dans leurs campagnes de cyberespionnage, les entreprises multinationales du monde entier font face à un risque accru de fuites de données, d’attaques malveillantes et de failles de sécurité d’ampleur. 

Aujourd’hui, les fabricants américains et les autres entreprises qui dépendent de multiples fournisseurs et sous-traitants sont confrontés à une réalité simple et implacable : la gestion des risques de la chaîne d’approvisionnement a clairement évolué. Ceux qui souhaitent établir leur propre analyse de risque fournisseur doivent regarder au-delà des sources de perturbations qui affectent la supply chain depuis des décennies. Il est essentiel d’intégrer la multitude de nouvelles menaces désormais endémiques à bon nombre de réseaux industriels. 

Aujourd’hui, les fabricants américains et les autres entreprises qui dépendent de multiples fournisseurs et sous-traitants sont confrontés à une réalité simple et implacable : la gestion des risques de la chaîne d’approvisionnement a clairement évolué.

Au total, on identifie aujourd’hui au moins six grands types de risques chaîne d’approvisionnement à intégrer dans toute analyse de risque exhaustive : 

  • Santé financière et/ou risque de faillite
  • Phénomènes climatiques extrêmes et événements liés au climat
  • Défis géopolitiques
  • ESG et durabilité
  • Cybersécurité
  • Conformité commerciale
  • Transparence des données

Collecte de données pour l’évaluation des risques

Une fois que les entreprises saisissent l’importance d’évaluer les risques fournisseurs, et identifient les catégories de risques à analyser, elles peuvent passer à l’action. La première étape — sans doute la plus décisive pour mener une analyse de risque — consiste à récolter les données sur vos fournisseurs. Il existe différentes approches pour consolider ces informations : il ne s’agit pas de se reposer sur une seule méthode, mais de multiplier les sources. Il convient de commencer par accéder aux informations publiques disponibles, par exemple les données financières, la localisation des sièges sociaux et sites de production, ou les rapports ESG (qui seront de plus en plus diffusés dans les mois et années à venir). 

Après avoir rassemblé toutes les données publiques accessibles, il faut identifier les lacunes éventuelles et prendre contact avec les fournisseurs pour demander les informations non obtenues par ce biais. Fréquemment, cette seconde étape s’appuie sur des questionnaires adressés aux fabricants, couvrant des sujets variés : contrôles de sécurité, mesures de réduction des risques, gestion de la chaîne d’approvisionnement. 

Le questionnaire Shared Information Gathering (SIG), par exemple, est un outil de gestion des risques tiers développé par l’organisation Shared Assessments. Il regroupe des centaines de questions pour fournir des insights pratiques sur 21 domaines clés, parmi lesquels :

  • Gestion de la conformité
  • Environnement, Social et Gouvernance (ESG)
  • Gestion des risques d’entreprise
  • Gestion des incidents de cybersécurité 
  • Sécurité réseau
  • Résilience opérationnelle 

Même s’ils sont essentiels à la collecte de données, les questionnaires ne doivent pas constituer la seule source d’information sur les fournisseurs. « Ce ne devrait pas être votre unique ressource », indique Ahmad. « Vous devez multiplier les sources pour pouvoir prendre une décision fondée sur les risques quant à la nécessité d’approfondir l’analyse ou non. »

Construire un processus global d’évaluation des risques : Partie 2

Mais l’identification des zones de risque et la collecte des données pertinentes n’en sont que les premières étapes. Une fois ces travaux réalisés, comment les fabricants peuvent-ils élaborer un modèle de risque et mettre en œuvre l’évaluation dans la pratique ?

Nous abordons ces questions — ainsi qu’une analyse des principaux risques propres à la chaîne d’approvisionnement des semi-conducteurs — dans la deuxième partie de notre article, Developing and Implementing a Risk Model for the Semiconductor Supply Chain.