Les enjeux de l’externalisation dans le secteur informatique

358

Avec l’avènement du Cloud et les enjeux stratégiques liés à la transformation numérique, les entreprises de toutes tailles ont recours à des prestataires externes pour leur permettre d’assurer leur développement de manière rapide et fiable.

En effet, la profusion d’offres ITaaS proposées aussi bien par les grands fournisseurs comme Microsoft, VMware, Google, Amazone, etc… et par les fournisseurs locaux spécialisés comme Adista, ALFUN, Ipgarde, Efisens, etc… permettent aux entreprises, dont l’informatique n’est pas le métier, de concentrer leur énergie sur le développement de leur activité principale en externalisant tout ou une partie de leurs fonctions ou processus.

L’aisance apportée par le choix d’un prestataire externe soulève toutefois des problématiques liées à la gestion et à la sécurité des solutions « clés en mains » qui nécessite des points de contrôle ainsi qu’une vérification juridique et un audit préalable des services candidats à l’externalisation afin d’éviter toutes démarches irréversibles.

Qu’est-ce que l’externalisation informatique ?

Tout d’abord, le concept d’externalisation consiste à engager un prestataire externe dans la gestion de tout ou partie d’une tâche mais dont les activités seraient pilotées étroitement par l’entreprise donneuse d’ordre. Le prestataire sélectionné doit alors prendre en charge, exploiter, gérer et améliorer le service de manière continue soit d’un département entier de l’organisation comme l’informatique, la gestion de la paie, de la comptabilité, du marketing, etc ; soit d’un processus opérationnel comme le stockage de marchandise, les véhicules professionnels, les centres d’appels, la gestion SAV, etc…

Dans le secteur informatique, l’externalisation est la démarche qui conduit à l’infogérance qui est utilisée par les entreprises de plus en plus pour gérer leur transformation numérique afin d’assurer un changement rapide, fiable permettant d’améliorer rapidement leurs performances économiques et leurs avantages concurrentiels en se concentrant sur leur métier principal.

De manière général, l’infogérance informatique s’articule en trois métiers principaux pouvant être combinés ensemble :

Le Business Process Outsourcing (BPO)

Contrairement aux Application Services Providers (ASP), qui ne comprend que la fourniture de l’accès à des fonctionnalités généralement fournies par l’intermédiaire d’un navigateur web pour client, le BPO comprend la prise en charge d’un processus dans son intégralité par exemple, dans la cas de l’externalisation d’un centre d’appels, la mise en place des locaux, des outils téléphoniques, des logiciels ainsi que la gestion des processus de traitement des appels et le personnel compétents. Par opposition à de la sous-traitance classique, le BPO signifie généralement qu’un certain degré de risque est transféré à la société qui met en place le processus d’externalisation. IBM propose souvent ce type de prestation à travers la création d’une société commune à l’entreprise donneuse d’ordre.

La Gestion des infrastructures (Hosting / Cloud / ASP / ITaaS)

Dans ce type d’infogérance, le prestataire propose aux entreprises d’externaliser l’exploitation informatique de leurs infrastructures informatiques par le biais de services divers tels que l’hébergement (matériel et/ou logiciel), la gestion des licences, la fourniture d’applications, ou la mise en place de services Cloud Public, les services étant chez le grands fournisseurs mais gérés par leurs équipes ; Cloud Privé, chez eux ou chez le client mais géré par leurs équipes ; ou Cloud Hybride, en partie chez eux et chez le client mais géré par leurs équipes.

La Tierce Maintenance Applicatives (TMA)

La TMA est la fourniture d’un service dédié, contrairement au Cloud SaaS qui est un service partagé. La TMA est mise en place par un prestataire pour un client et qui contient un ensemble de ressources qui lui est donc exclusivement consacré. Le prestataire doit donc assurer la disponibilité du logiciel ainsi que sa maintenance mais l’utilisateur reste responsable de l’usage et des résultats liés à ce dernier. La responsabilité incombe donc à l’utilisateur et non au sous-traitant comme évoqué dans le cas du BPO.

L’externalisation de services peut donc se faire de manière partielle ou totale et dépendra entièrement de la décision des personnes dirigeantes de l’entreprise ainsi que du caractère stratégique et confidentiel de la fonction ou du processus ciblé.

L’externalisation et l’infogérance au cœur des enjeux de sécurité

De manière générale, l’externalisation partielle ou totale d’un service n’est pas sans risque car une entreprise peut mal estimer le volume des tâches traitées par le prestataire et se retrouver au bout du compte avec une facture surdimensionnée. De plus, elle risque de perdre la maîtrise de son système d´information si elle délègue trop la maîtrise d´ouvrage à l´extérieur. Dans le cadre d’une dépendance excessive, la réversibilité devient difficile. Il y a également un risque technique comme la discontinuité du service, non-respect du contrat. La réversibilité devant d’ailleurs être une des clauses importantes prévus dans le contrat de services car l’entreprise court un risque contractuel lorsque le contrat est mal étudié et soulèvera des problématiques en terme de qualité mais surtout en terme de sécurité.

En effet, l’externalisation répartie la gestion de la sécurité à la fois entre l’entreprise et le partenaire, ce qui augmente la surface d’attaque. Par exemple, la maintenance d’un système d’information nécessite souvent un accès à distance à cette dernière et déléguer un tel accès à un prestataire nécessite d’avoir les capacités techniques au sein de l’entreprise pour vérifier que ce dernier n’est pas utilisé à mauvais escient.

Ainsi, l’externalisation de services augmente la surface d’attaque qu’il est nécessaire de défendre, pose des problèmes de souveraineté des données. Par exemple, dans le cas d’une externalisation dans un Cloud, les données de l’entreprise transiteront par le biais de réseaux communs et celle, qui peuvent être confidentielles, sortent du champ de contrôle, ce qui soulèvera des problèmes de confidentialité et de sécurité qui ne repose plus que sur le prestataire et le respect des clauses contractuelles signées.

Externaliser et maîtriser les risques

L’infogérance permet donc à une entreprise de disposer d’une visibilité assez précise sur ses coûts informatique grâce à un prix d’unité d’œuvre garanti (par exemple, un nombre d’utilisateur à gérer) ou un prix moyen journaliser (TJM). Celle-ci permet également de réduire considérablement les immobilisations, transformer les charges fixes en charges variables, basculer une partie du CAPEX vers l’OPEX, réduire les impôts et taxes de l’entreprise tout en augmentant sa capacité d’investissement et sa réactivité.

Toutefois, la décision d’externaliser n’est pas sans risque et nécessite d’être maîtrisée. La maîtrise des risques passe avant tout par le suivi des règles de sécurité basiques par le prestataire. L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a publié une série de guides sur la sécurisation des systèmes d’information qu’il convient de suivre pour limiter la surface d’attaque et les risques d’intrusion.

De manière générale, la maîtrise des risques passe par une discussion constante avec le prestataire à toutes les phases du projet pour être à même de prendre les bonnes décisions quant à la sécurisation de l’infrastructure. Il est conseillé de pouvoir tester, auditer les services proposés et également visiter les lieux d’hébergement lorsque c’est possible. À ce propos, l’ANSSI a également publié une série de guides sur les bonnes pratiques dans le cas de l’externalisation.

Ainsi, la gestion des risques passe par une bonne connaissance de son système d’information, de ses limitations et de son architecture et surtout par une communication efficace entre l’entreprise et le prestataire.

En Conclusion

L’externalisation de services se présente sous plusieurs formes et l’implication des prestataires intervient à des degrés de responsabilité différents selon la typologie de l’environnement à gérer. Bien que l’externalisation, et l’infogérance, procurent des avantages certains, il n’en soulève pas moins de nombreux problèmes de gestion et de sécurité en terme de confidentialité lié à l’augmentation de la surface d’attaque. Pour limiter ces derniers, l’entreprise donneuse d’ordres se doit de maintenir un échange avec son prestataire et de suivre l’avancement du projet de manière précise. Le suivi peut se faire à l’aide de référentiel et de différents guides comme ceux émis par l’ANSSI. Il est également important de s’appuyer sur une entité de conseils qui ne serait pas juge et partie entre la prise de décision et la gestion des actions stratégiques de l’informatique d’entreprise.

Sources

La gouvernance du Système d’Information dans les PME : Jean-François Carpentier, ENI, 2010

Recommandations relatives à l’administration sécurisée des systèmes d’informations : ANSSI

Maîtriser les risques de l’infogérance : ANSSI

Guide d’hygiène informatique : ANSSI

Disponible dans l'iVstore !

Cet article, ainsi que tous ceux de la plateforme Knowledge Management, sont disponibles en téléchargement dans l’iVstore iVstore_V1

Pour télécharger cet extrait, cliquer sur iVstore – iVee

Vers la technique et au delà !

Découvrez les ressources techniques de l’iVlibrary !

iVlibrary est proposée en partenariat avec ENI Editions et contient tous leurs livres numériques ainsi que leurs vidéos thématiques.

iVLibrary_V1-01

Pour y accéder, cliquer sur iVlibrary