Le sourcing IT fragmenté : comment les entreprises naviguent entre internes, externes et IA en 2026

Il était une fois un DSI qui avait une ESN de confiance, quelques recrutements clés, et un budget maîtrisé. La vie était simple. Les périmètres étaient clairs. Et puis, petit à petit, sans vraiment le décider, la réalité s'est complexifiée.

Aujourd'hui, ce même DSI jongle avec deux ESN en régie, un freelance expert cloud recruté via LinkedIn, une équipe nearshore pour la maintenance, un contrat au forfait pour le développement mobile, quelques agents IA qui automatisent des tâches de test et une question qui lui traverse l'esprit tous les trimestres : est-ce que je pilote encore ce truc, ou est-ce que c'est lui qui me pilote ?

Ce n'est pas une histoire d'incompétence. C'est l'histoire de tous les DSI en 2026.

La fragmentation du sourcing IT n'est pas un accident. C'est la conséquence logique d'un marché des compétences qui évolue plus vite que les organisations. Et ce n'est pas près de s'arrêter.

La vraie question n'est donc pas "comment éviter la fragmentation" c'est trop tard. La vraie question est : comment la piloter sans qu'elle vous pilote ?

Pourquoi vous avez autant de prestataires différents (et ce n'est pas votre faute)

La fragmentation ne vient pas de mauvaises décisions ponctuelles. Elle vient de quatre forces structurelles qui agissent en continu.

La spécialisation qui ne cesse de se raffiner. Il y a dix ans, un "bon développeur" pouvait couvrir un périmètre large. Aujourd'hui, un expert Kubernetes et un expert LLMOps ne sont pas le même profil. Plus les compétences se spécialisent, plus les sources se diversifient. C'est mécanique.

L'explosion du marché freelance. Ils sont désormais plus de 300 000 développeurs indépendants en France (Malt / Freelance.com, 2025). Pour les missions courtes ou les expertises rares, les freelances offrent une réactivité qu'une grande ESN généraliste ne peut pas toujours égaler. Résultat : vous les avez ajoutés à votre mix. Probablement sans l'avoir vraiment décidé.

La pression économique qui ne lâche pas. L'offshore et le nearshore permettent d'absorber d'importants volumes de maintenance à des coûts que les ressources locales ne peuvent pas concurrencer. La fragmentation est aussi une optimisation financière rationnelle avec des risques réglementaires en 2026 qu'on va adresser.

L'IA agentique qui s'est invitée sans prévenir. Depuis 2025, une nouvelle "ressource" est disponible dans votre mix : les agents IA capables d'exécuter des tâches de développement, de test, d'analyse et de documentation de façon quasi autonome. Ce n'est pas un gadget. C'est un nouveau maillon dans votre chaîne de production IT, qui force à repenser ce que vous externalisez, à qui, et pourquoi.

La carte que vous n'avez probablement jamais dessinée

Avant d'aller plus loin, faites l'exercice. Répondez à ces trois questions :

Combien de prestataires différents accèdent à vos systèmes en ce moment ? Combien parmi eux sont localisés hors de l'UE ? Pour combien d'entre eux avez-vous un contrat avec une clause sur l'usage des outils IA ?

La plupart des DSI que nous rencontrons ne connaissent pas les réponses exactes. Ce n'est pas du désordre : c'est de la fragmentation non cartographiée. Et vous ne pouvez pas piloter ce que vous n'avez pas nommé.

Les 5 sources de compétences IT en 2026

Une sixième ligne devrait figurer dans ce tableau : les agents IA supervisés. Disponibles immédiatement, coût marginal faible, aptes aux tâches répétitives mais nécessitant un cadre de supervision humaine rigoureux et une politique de données claire. Ni interne, ni externe, ni humain. Une ressource nouvelle qui force à repenser les catégories.

La souveraineté numérique : le risque que vous portez sans le savoir

Voici quelque chose que beaucoup de DSI ont découvert trop tard : avoir des ressources offshore qui accèdent à vos systèmes sans DPA conforme, c'est potentiellement une violation RGPD.

Avec la pleine application de NIS2 en France, de DORA pour le secteur financier et du règlement EU AI Act, la localisation géographique de vos prestataires n'est plus seulement un critère économique. C'est un critère de conformité.

Concrètement : si vous êtes opérateur d'importance vitale, opérateur de services essentiels, ou entité financière régulée, l'accès à vos systèmes par des ressources hors de l'Espace Économique Européen sans analyse d'impact peut vous exposer à des sanctions allant jusqu'à 4% de votre chiffre d'affaires mondial.

Ce n'est pas une menace abstraite. Les premières sanctions tombent. Et quand l'auditeur arrive, la première question est : "Avez-vous une cartographie des accès aux données par vos prestataires tiers, et pour chacun, une DPA conforme ?"

Un prestataire qui ne peut pas répondre clairement à cette question en 2026, c'est un risque que vous portez pas lui.

L'IA agentique change votre sourcing : voici comment penser le sujet

La vraie question n'est pas "est-ce que l'IA va remplacer les développeurs ?" — elle est mal posée. La vraie question est : quelles tâches actuellement externalisées à des humains peuvent désormais être traitées par des agents IA supervisés ?

Ce que seul un humain expert peut faire : Architecture de système, décisions en contexte d'incertitude, gestion de crise, compréhension du contexte métier profond. Ces tâches se confient à des humains dont vous êtes sûrs de la compétence.

Ce qu'un humain fait mieux avec une IA : Développement fonctionnel, tests d'intégration, documentation technique. Un consultant augmenté livre 2 à 4 fois plus vite à condition que la supervision soit là.

Ce que l'IA peut faire avec supervision légère : Tests de régression, génération de données de test, analyse de logs standardisée, premiers drafts de documentation. Pour ces tâches, un agent IA bien configuré peut partiellement remplacer des ressources offshore qui les exécutaient.

L'implication concrète : avant de renouveler des contrats de maintenance lourde, vérifiez si ces tâches ne pourraient pas être réallouées. Ce n'est pas de la réduction d'effectifs , c'est de la réallocation vers les tâches à plus forte valeur.

Les coûts cachés que personne ne met dans le budget

Le coût d'intégration multiplié. Avec 5 sources actives simultanément, l'onboarding absorbe entre 15% et 25% du temps de vos tech leads et product owners. Personne ne le mesure. Tout le monde le subit.

Le coût de la dette contractuelle. Des contrats hétérogènes génèrent des processus de validation multiples. En 2026, ajoutez la gestion des clauses IA et des DPA dans chaque contrat.

Le coût de l'incohérence technique. Quand chaque source apporte sa propre convention de code vous construisez une base que personne ne comprend dans son intégralité. Ce coût-là, vous le payez à chaque refactoring.

Le coût réglementaire. Un incident lié à un transfert de données non conforme vers un prestataire hors UE peut générer des sanctions qui effacent plusieurs années d'économies réalisées sur les TJM offshore.

La stratégie des 3 cercles : reprendre le contrôle sans tout centraliser

Cercle 1 — Le noyau intouchable. Architecture SI, sécurité, données sensibles, systèmes soumis à NIS2/DORA, vision produit. Ce cercle doit être tenu par des internes, ou par des partenaires stratégiques localisés dans l'UE, avec une politique IA conforme. Aucune exception.

Cercle 2 — Le flux structuré. Développement fonctionnel, intégration, tests. Une ou deux ESN partenaires avec accords-cadres incluant des clauses IA et de localisation. Stable, prévisible, gérable sans overhead important.

Cercle 3 — L'accès flexible. Expertises rares, pics de charge, agents IA supervisés. Fluide et opportuniste — mais encadré par des standards techniques clairs que chaque intervenant doit respecter dès J+1.

La règle d'or : ne laissez jamais une source du cercle 3 devenir critique pour le cercle 1. Si votre freelance data est le seul à comprendre votre pipeline ML, il est dans votre cercle 1 sans en avoir le statut. C'est le scénario de dépendance le plus dangereux et le plus fréquent.

5 actions que vous pouvez lancer dès ce mois-ci

Faites votre cartographie des accès. Qui accède à quoi, depuis où ? Deux heures de travail avec votre équipe sécurité. C'est la base de tout le reste.

Auditez vos contrats prestataires. Y a-t-il une clause IA ? Une DPA pour les ressources hors UE ? Si non, vous avez une liste de contrats à amender avant le prochain audit.

Consolidez vos contrats cadres. Deux ESN partenaires solides valent mieux que dix prestataires ponctuels.

Créez un référentiel de standards d'entrée. Une page. Conventions de code, outils autorisés, règles IA, standards de documentation. Tout intervenant la reçoit à J+1.

Appliquez la règle des 40%. Aucune source externe unique ne devrait représenter plus de 40% de votre capacité de livraison sur un domaine critique.

La vraie question avant de fermer cet article

Est-ce que votre stratégie de sourcing a été conçue, ou est-ce qu'elle s'est formée ?

Si elle s'est formée par accumulation de bonnes décisions ponctuelles, par habitudes, par urgences successives :vous n'avez pas une stratégie. Vous avez un état de fait. Et un état de fait, en 2026, avec les contraintes réglementaires et la complexité IA qui s'ajoutent, ça finit par vous rattraper.

La bonne nouvelle : il n'est jamais trop tard pour nommer ce que vous faites et décider si c'est vraiment ce que vous voulez faire.

Atr-is accompagne les DSI dans la structuration de leur stratégie de sourcing IT. Si vous voulez cartographier votre situation actuelle, on peut en parler.