Infogérance

La tierce maintenance applicative (TMA) consiste à confier entièrement ou en partie la maintenance des applications à un prestataire informatique. Elle permet de garder le produit informatique dans un état optimal de fonctionnement en faisant face instantanément à tout type de problème.

Il existe trois niveaux de maintenance.

La première est la maintenance préventive qui concerne les mesures d'entretien exécutées pour éviter les anomalies.

La seconde est la maintenance curative qui vise à corriger le système en place. Le prestataire diagnostique le matériel défectueux et corrige les anomalies ou bugs existants.

Enfin, la dernière est la maintenance évolutive qui permet de faire progresser, de pérenniser et de valoriser le système. Il s'agit, par exemple, de la mise à niveau des logiciels.

L'application service provider (ASP), aussi appelée fournisseur de services d'applications, est une entreprise qui fournit des logiciels ou des services informatiques à ses clients au travers d'un réseau. Elle consiste à externaliser l'hébergement d'une application ou d'un service en ligne à travers un réseau de type Internet ou réseau privé. La sécurité des données est assurée par le fournisseur et c'est la société tierce qui est propriétaire de l'application.

Ce modèle apporte un gain de productivité, une maîtrise des coûts, plus de flexibilité et une meilleure communication (entre sites ou pour les utilisateurs nomades).

La business process outsourcing (BPO), aussi appelé externalisation des processus métier, consiste à externaliser un ou plusieurs processus métier. Les fonctions les plus externalisées sont les achats, la comptabilité, la gestion de la relation client, la gestion des ressources humaines et le back office dans le domaine bancaire.

Dans tous les cas, la question se pose entre la location et l'achat de matériel.

Comme dans tout contrat qui se forme entre deux parties, certaines informations sont nécessaires. Nous allons notamment retrouver l’identification du client et du prestataire, les conditions de durée, de renouvellement et de résiliation du contrat, les assurances, les éventuelles cessions des éléments du contrat, les modalités de paiement et de révision des prix et enfin, les clauses de responsabilité.

Un contrat d’infogérance doit prévoir des clauses spécifiques liées à la prestation d’infogérance. Il peut être inclus dans le contrat, en fonction des besoins du client et de son budget le maintien en condition opérationnelles du système informatique, des réseaux et des télécommunications, l'amélioration de la performance de ce système ou encore l'assistance aux utilisateurs, à l'administrateur et au dirigeant.

Pour chaque clause, il est indispensable de vérifier certains des éléments.

Premièrement, nous devons retrouver le périmètre. Il s’agit de définir d'abord un périmètre de la prestation afin de savoir ce qui est inclus ou non dans le contrat. C’est le champ d’application du contrat, on y détaille tous les équipements concernés par la maintenance, l’assistance et les outils logiciels ou services installés. Le périmètre est défini en fonction des besoins réels du client. Par exemple, les ordinateurs, les tablettes et smartphones, les serveurs, la solution de sauvegarde des données, les routeurs, le réseau interne du client, les équipements d'impression, les télécommunications ou encore la sécurité.

Les interventions doivent être explicitées. Le prestataire s’engage au maintien en condition opérationnelle du système d’information. On s'intéresse à la manière dont la prestation va s'effectuer. Néanmoins, les interventions répondent à plusieurs problématiques : les opérations couvertes, les délais d'interventions, le nombre de personnes chargées de cette prestation, les jours et horaires d'intervention, le contact intervenant, le numéro de téléphone ou l'adresse de courriel à utiliser pour programmer cette intervention ou encore si l’intervention fait l’objet d’une tarification supplémentaire.

Il est aussi nécessaire de retrouver l’assistance téléphonique. Les horaires et jours de disponibilité et d’intervention à distance doivent être définis selon le contrat d’infogérance et les besoins du client. La clause doit mentionner si la hotline est prévue de façon illimitée, ou si elle fait l’objet d’une tarification spécifique : joignable par achat de tickets ou encore pour une durée cumulée maximum. De plus, l’assistance téléphonique permet de réaliser certaines opérations de maintenance informatique.

On peut également mentionner le devoir de veille technologique. Le prestataire qui exécute le contrat d’infogérance doit assurer un rôle de conseil, et donc être capable de proposer à tout moment les solutions les mieux adaptées aux usages et en adéquation avec les contraintes budgétaires du client.

Nous devons retrouver la confidentialité. Tous les collaborateurs du prestataire doivent respecter le secret professionnel des clients chez lesquels ils interviennent, à distance ou sur site. Une clause de confidentialité doit donc être prévue au contrat pour garantir le client contre toute manipulation frauduleuse ou vol de ses données. En effet, il s’agit d’un contrat par lequel on autorise une entreprise tierce à manipuler le parc informatique et pénétrer dans les systèmes et les données de l'entreprise.

Le contrat doit aussi mentionner la propriété des logiciels. Si des prestations intellectuelles doivent être réalisées, elles doivent être précisément mentionnées dans le contrat ou son avenant. Le contrat doit stipuler clairement les droits d’utilisation de toute production logicielle résultant de l’exécution du contrat d’infogérance : le logiciel peut devenir la propriété du client, être « loué » au client pour un temps défini, ou prévoir une possibilité de réutilisation par le prestataire pour ses productions futures.

La réversibilité doit être prévue. Le contrat doit toujours prévoir une clause de réversibilité et ses modalités d’applications. En effet, le client peut décider de changer de prestataire ou ré-internaliser la gestion de son informatique. La réversibilité du contrat doit garantir une parfaite restitution des informations.

Pour finir, le dernier élément concerne les matériels. On détaille le matériel pris en considération dans le contrat mais également si chaque réparation ou remplacement de matériel est inclus dans le prix de la prestation. Dans ce cas, le contrat détermine comment sera fixé le prix et dans quels cas le matériel informatique sera remplacé ou réparé.

La perte de maitrise du système d’information est un risque à prendre en compte quand on travaille en infogérance.Cette menace peut être lié à la sous-traitance, la localisation des données ou au choix technique des prestataires.

Pour diminuer le risque lié à la sous-traitance, les donneurs d'ordres doivent vérifier que le prestataire a réellement des capacités techniques et financières nécessaires à la bonne exécution des prestations mais aussi que la sous-traitance ne rendra pas inefficace les contraintes de sécurité exigées par le secteur d'activité. En cas de manquement à ces deux obligations, le donneur d'ordres peut se réserver le droit de récuser tout sous-traitant qui ne présente pas les garanties suffisantes pour exécuter les prestations conformément aux exigences de sécurité.

En ce qui concerne la localisation des données, il faut s’assurer que l'ensemble des lieux d'hébergement (site principal, sites de secours, sites de sauvegarde…) répondent d'une part aux exigences de sécurité du donneur d'ordres, et d'autre part aux obligations légales et réglementaires. De manière générale, le risque de divulgation d'informations sensibles dans une opération d'infogérance doit être systématiquement évalué.

De plus, une localisation de données non maîtrisée peut entraîner une difficulté à exercer un droit de regard et de contrôle sur les personnels du prestataire, une difficulté à effectuer un audit de sécurité de l'infrastructure sous-jacente ou encore une difficulté à répondre à d'éventuelles injonctions de la justice, pour des raisons fiscales ou autres raisons (par exemple d'ordre juridique).

Enfin, si pour des raisons économiques, le prestataire se retrouve dans l'incapacité de satisfaire le contrat d'infogérance, le donneur d'ordres doit être en mesure de récupérer les données afin d'avoir la possibilité de les confier à un autre tiers de son choix. Cette restitution doit être mentionnée dans le contrat.

Il existe plusieurs types d’interventions à distance comme le télédiagnostic (par la supervision d'équipements réseau et sécurité, diagnostic d'anomalies sur une application…), la télémaintenance (par la réalisation, après le diagnostic, des opérations à distance sur le dispositif) ou encore la télédistribution (par une mise à jour d'une application à distance). Ces interventions à distance permettent une réduction significative des coûts et des délais d'intervention mais présentent de nombreux risques.

Elles peuvent être responsables par exemple : de l'intrusion dans le système d'information par une personne non autorisée, de l'indisponibilité du système d'information qui va avoir un impact sur la confidentialité ou l'intégrité des données mais peuvent aussi entraîner l'abus de droits d'un technicien qui lors d'une intervention peut accéder à des données confidentielles ou modifier des données sur le système d'information.

Pour éviter les risques liés à la télémaintenance, le donneur d'ordre doit mettre en place une passerelle informatique sécurisée qui va permettre d’authentifier la machine distante et la personne chargée du support, de prévenir l'exploitation de vulnérabilité (par exemple les systèmes d'exploitation des dispositifs non tenus à jour ou encore l'absence de traçabilité des actions…) sur le dispositif de télémaintenance, de garantir la confidentialité et l'intégrité des données sur le système d'information, d’assurer une traçabilité des actions effectuées par le technicien et de garantir l'absence de fuite d'informations vers l'extérieur.

Parallèlement, la mise en place d'un audit régulier va permettre de confirmer si, les mesures de sécurité sont effectives et en adéquation avec les objectifs de sécurité.

L'hébergement mutualisé consiste à héberger plusieurs services sur un seul et même serveur, afin de rationaliser les ressources. Plusieurs risques liés à ce choix existent. Le premier est la perte de disponibilité car lors d'une attaque externe ou interne, puisque les services sont hébergés sur le même serveur, l'ensemble des équipements peuvent être indirectement victimes de l'attaque. Le second est la perte de confidentialité puisque le partage des services dans un même environnement physique peut conduire à des croisements d'information (contenu des fichiers clients de plusieurs sites dans la même base de données, ou le même sous répertoire, etc.). Le troisième risque est la perte d'intégrité, lorsque l'un des services hébergés subit une attaque, un changement de logiciel (voulu ou non) cela peut avoir une répercussion indirecte sur un service hébergé (non compatibilité, erreurs, etc.).

Pour lutter contre ces risques, le contrat d'infogérance doit prévoir une récupération rapide de toutes les données. Les journaux d'événements, le suivi du service hébergé (les mises à jour, les maintenances, les sauvegardes…), les modalités de prévention d'une attaque et la réaction à la suite de l'incident doivent être impérativement détaillés.

Cependant d’autres risques liés à l'infogérance peuvent survenir comme des risques financiers car une sous-estimation des volumes d'information à traiter par le prestataire peut entraîner une facture surdimensionnée. Également des risques sociaux lorsqu'il y a un développement trop rapide de l'infogérance cela peut être mal perçu par les salariés. Ils vont alors craindre de perdre leur emploi et peuvent développer une forme de résistance au changement. Ou bien des risques juridiques avec la responsabilité du client qui peut être mise en cause lorsque le prestataire ne respecte pas la législation. Le contrat doit prévoir, afin de protéger le donneur d'ordres soit une limitation de la mise en cause du donneur d'ordres, soit des moyens de contrôle dont disposera le donneur d'ordres. Dans tous les cas, le donneur d'ordres doit conserver ses recours juridiques contre le sous-traitant. Enfin il peut y avoir des risques liés à la diffusion de l'information car les conséquences resteront toujours supportées par le client qui devra assumer seule. S'il peut démontrer une faute commise par le prestataire, le client pourra alors demander une indemnisation du préjudice subi.

D'après une étude réalisée par les Échos, l'infogérance se développe grâce aux services de cloud computing.

Ce marché est monopolisé par les géants historiques de l'infogérance (SSII, équipementiers informatiques) d'envergure mondiale et par les pionniers mondiaux du cloud computing (Google, Amazon). Toutefois, le marché compte également de nombreuses SSII de taille moyenne qui se focalisent davantage sur des marchés de spécialités (externalisation de fonctions par exemple) ou distribuent des solutions développées par les informaticiens (IBM, Bull…) et les éditeurs de logiciel (Microsoft, Oracle…).

Ces acteurs proposent des services innovants (CRM, gestion de la paie et sécurité des données) qui attisent les convoitises des leaders. Depuis 2011, les leaders ont tendance à racheter ces sociétés innovantes.

En 2014, la valeur totale des contrats d'externalisation des systèmes d'information a progressé de 7 % pour atteindre 9,5 milliards d'euros. Malgré une baisse de 1 % du nombre de contrats signés sur l'année (588 en 2014, contre 595 en 2013), le marché reste attractif grâce à une hausse des « mégas contrats ». Les pays européens tels que l'Allemagne, le Royaume-Uni et la France ont largement contribué au dynamisme du secteur.

En France, la valeur annuelle des contrats d'externalisation signés en 2014 a augmenté de 125 % par rapport à 2013. Le nombre total de contrats a progressé de 75 % en un an. Cette croissance peut s'expliquer par la multiplication des opérations de consolidation, la hausse de 25 % du nombre de méga contrats d'une valeur annuelle de 80 millions d'euros ainsi que l'engouement pour l'infogérance cloud.

Cependant, certaines limites liées à la souveraineté des données, la sécurité et la maturité des offres de ce marché persistent. Pour répondre à ces interrogations, les pouvoirs publics français ont lancé en 2012, un « cloud national » dont l'impact reste encore à démontrer.