Vérification fournisseur : due diligence et background checks pour l’export défense
Un de mes clients dans l’aéro m’a appelée un vendredi soir, en panique. Son prospect américain, un prime contractor de la Navy, venait de lui envoyer un questionnaire de 92 questions sur ses sous-traitants de rang 2 et 3. Délai de réponse : dix jours ouvrés. Le problème ? Mon client ne pouvait pas répondre à la moitié des questions parce qu’il n’avait jamais fait de vérification fournisseur sérieuse sur sa propre supply chain.
C’est le genre de situation que je vois trop souvent. Et elle coûte des contrats.
Pourquoi la due diligence fournisseur est devenue incontournable
La vérification fournisseur et la due diligence ne sont plus un “nice to have” dans l’export défense. Depuis le renforcement des sanctions internationales et la montée en puissance des exigences de traçabilité dans la supply chain défense américaine, tout fournisseur qui travaille avec le DoD doit pouvoir prouver qu’il connaît ses partenaires.
Le Department of Defense l’a formalisé dans la clause DFARS 252.225-7009 et dans les exigences du programme CMMC. Selon le DoD Inspector General, 23 % des non-conformités identifiées lors d’audits de fournisseurs étrangers en 2024 portaient sur l’insuffisance des processus de due diligence en aval de la chaîne (rapport DODIG-2024-079).
Qu’entend-on exactement par “vérification fournisseur” ?
La question revient tout le temps dans mes accompagnements. Je vais la décomposer clairement.
La vérification fournisseur dans le contexte défense-aérospatiale couvre trois niveaux distincts.
Le premier niveau, c’est le screening réglementaire. Vos fournisseurs et sous-traitants figurent-ils sur une liste de sanctions ? Le Bureau of Industry and Security (BIS) maintient l’Entity List. Le Treasury Department gère la SDN List (Specially Designated Nationals) via l’OFAC. Et le State Department tient la Debarred List du DDTC pour les violations ITAR. Si un de vos sous-traitants apparaît sur l’une de ces listes, tout votre contrat est compromis.
Le deuxième niveau, c’est la due diligence financière et structurelle. Qui sont les actionnaires réels de votre fournisseur ? Y a-t-il des intérêts étrangers qui pourraient déclencher un examen CFIUS ? L’entreprise est-elle financièrement stable ? A-t-elle fait l’objet de procédures judiciaires liées à la conformité export ?
Le troisième niveau, c’est la vérification des capacités techniques et de conformité. Votre fournisseur a-t-il les certifications requises (AS9100, NADCAP, CMMC) ? Ses processus de fabrication sont-ils conformes aux MIL-SPEC applicables ? Peut-il produire les documents de traçabilité exigés par le prime contractor ?
Comment faire un background check fournisseur en pratique ?
C’est la question que j’entends le plus. Voici comment je structure le processus avec mes clients.
Le screening initial prend deux heures, pas deux semaines
La bonne nouvelle opérationnelle : les outils existent et sont souvent gratuits. Le Consolidated Screening List du gouvernement américain (accessible sur trade.gov) regroupe 13 listes de sanctions en une seule recherche. Vous entrez le nom de votre fournisseur, ses alias connus, et les noms de ses dirigeants. Résultat en quelques secondes.
Pour la vérification ITAR spécifiquement, le DDTC publie la liste des entités débarquées (debarred parties). Et le System for Award Management (SAM.gov) vous permet de vérifier si une entité est exclue des marchés publics fédéraux.
Je recommande à tous mes clients de faire ce screening sur chaque nouveau fournisseur et de le renouveler tous les six mois. Un fournisseur clean aujourd’hui peut se retrouver sur une liste demain.
La due diligence approfondie demande des compétences spécifiques
Au-delà du screening de base, la due diligence fournisseur pour la défense implique de creuser la structure capitalistique de l’entreprise. Qui détient quoi ? Y a-t-il des investisseurs liés à des pays figurant sur la liste des pays soumis à embargo (Iran, Corée du Nord, Russie, Chine pour certains domaines) ?
J’ai accompagné une ETI de la région nantaise qui avait un excellent fournisseur de composants en alliage de titane. Techniquement irréprochable, prix compétitifs, délais tenus. Le problème est apparu lors de la due diligence : ce fournisseur avait été racheté deux ans plus tôt par un fonds d’investissement dont un des limited partners était une entité liée à un pays sous sanctions partielles. Mon client ne le savait pas. L’acheteur américain, lui, l’a découvert en 48 heures.
Résultat : le fournisseur a dû être remplacé en urgence, ce qui a retardé la première livraison de quatre mois. Quatre mois de retard sur un contrat de défense, c’est le genre de chose qui détruit une relation commerciale avant même qu’elle commence.
Les documents à collecter pour chaque fournisseur critique
Je donne toujours à mes clients une checklist concrète. Pour chaque fournisseur de rang 1 et 2 impliqué dans un programme de défense US, vous devez avoir dans votre dossier :
Les statuts et l’organigramme capitalistique complet. Les certificats de conformité en cours de validité (AS9100, NADCAP). Une attestation de non-inscription sur les listes de sanctions. Les rapports d’audit récents. La preuve de conformité cybersécurité. Et pour les fournisseurs manipulant des données techniques contrôlées, un Technology Control Plan documenté.
Ce dossier doit être mis à jour annuellement. Quand un prime contractor américain vous demande ces documents, vous avez intérêt à les avoir sous la main.
Due diligence fournisseur et ITAR : le piège que personne ne voit venir
Voici un point que je martèle auprès de chaque client. Sous ITAR, vous êtes responsable de la conformité de vos sous-traitants. Si vous transmettez des données techniques contrôlées à un fournisseur qui n’a pas les autorisations requises, c’est vous qui êtes en violation. Pas lui.
Le DDTC (Directorate of Defense Trade Controls) a infligé plus de 160 millions de dollars de pénalités entre 2020 et 2024 pour des violations liées à des transferts non autorisés. Dans plusieurs cas, l’entreprise sanctionnée avait simplement partagé des plans techniques avec un sous-traitant sans vérifier que ce dernier était couvert par la licence d’exportation ou le TAA (Technical Assistance Agreement) applicable.
Ne faites pas ça. Point. Avant chaque partage de données techniques avec un fournisseur, vérifiez trois choses : le fournisseur est-il enregistré auprès du DDTC ? Est-il couvert par votre licence ou accord ? Ses employés qui accèderont aux données sont-ils des “US persons” ou des ressortissants de pays autorisés ?
Quels outils utiliser pour la vérification fournisseur ?
En dehors des bases de données gouvernementales gratuites que j’ai mentionnées, plusieurs outils payants facilitent la due diligence fournisseur dans le secteur défense.
Exiger (anciennement Exostar) est la plateforme de gestion de la supply chain défense la plus utilisée aux USA. Elle propose des modules de screening automatisé et de gestion des certifications fournisseurs. D’après leurs chiffres publics, plus de 150 000 entreprises de la base industrielle de défense utilisent leur plateforme.
Pour la vérification capitalistique, Dun & Bradstreet reste la référence et permet de remonter les chaînes de propriété. Le numéro DUNS est d’ailleurs obligatoire pour toute entreprise souhaitant travailler avec le gouvernement fédéral américain via SAM.gov. Pour le screening sanctions en continu, des solutions comme Dow Jones Risk & Compliance automatisent la surveillance et vous alertent si un fournisseur apparaît sur une liste.
La vérification fournisseur vue par les acheteurs américains
Je vais partager un point de vue que mes clients trouvent toujours éclairant. Quand un program manager américain vous demande votre processus de due diligence fournisseur, il ne cherche pas à vous piéger. Il cherche à se protéger.
Les prime contractors comme Lockheed Martin ou Raytheon sont eux-mêmes audités sur la conformité de leur supply chain. Si un de leurs sous-traitants étrangers a un fournisseur de rang 2 non conforme, c’est le prime qui prend la sanction. D’après la National Defense Industrial Association (NDIA, 2024), 67 % des primes considèrent le risque supply chain comme leur premier risque de conformité.
Votre processus de vérification fournisseur est donc un argument commercial. Un programme de due diligence structuré et actualisé réduit le risque perçu de l’acheteur. Et dans la défense, réduire le risque, c’est remporter le contrat.
Mettre en place un programme de due diligence fournisseur
Après avoir accompagné des dizaines d’entreprises sur ce sujet, j’ai identifié ce qui sépare les programmes efficaces des usines à papier.
Commencez par classifier vos fournisseurs par niveau de risque. Un fournisseur de vis standards n’a pas besoin du même niveau de vérification qu’un fournisseur de composants électroniques classifiés. Trois catégories suffisent : risque faible (screening de base annuel), risque moyen (screening + vérification documentaire semestrielle), risque élevé (due diligence complète trimestrielle + audit sur site).
Documentez tout dans un système centralisé. Un tableur Excel partagé, c’est mieux que rien, mais un outil dédié vous évitera les oublis de renouvellement qui peuvent coûter très cher lors d’un audit ITAR.
Formez vos équipes achats. La vérification fournisseur ne peut pas reposer uniquement sur le responsable export ou le directeur juridique. Vos acheteurs doivent savoir reconnaître les red flags : changement soudain d’actionnariat, refus de fournir des documents de base, adresses dans des pays à risque, intermédiaires opaques.
Ce programme de due diligence deviendra un de vos meilleurs atouts pour convaincre des partenaires américains. Si vous voulez structurer votre approche ou vérifier que votre processus actuel tient la route face aux exigences US, consultez notre méthode CAAPS ou réservez un appel découverte. On passera en revue votre supply chain et on identifiera les trous dans la raquette avant qu’un acheteur américain ne le fasse pour vous.