Lorsqu’une entreprise décide d’externaliser la gestion de son système d’information, elle conclut généralement un contrat d’infogérance avec un prestataire de services souvent confondu avec le fournisseurs de services managés (ou « MSP » pour « Managed Services Provider »).
Ce type de contrat est essentiel pour s’assurer que le prestataire répond aux besoins de l’entreprise et fournit des services de qualité. Dans cet article, nous commencerons par quelques rappels et définitions concernant l’infogérance, avant de lister les points essentiels à prendre en compte lors de la conclusion d’un contrat d’infogérance.
Qu’est-ce que l’infogérance ?
Définition de l’infogérance
L’infogérance est une pratique qui consiste à confier à un tiers la gestion, l’exploitation, l’optimisation et la sécurisation de tout ou partie du système d’information d’une organisation.
Différents types d’infogérance
Nous l’avons vu plus haut, cette externalisation peut revêtir plusieurs formes, avoir un périmètre plus ou moins large. Ainsi, existent notamment des infogérances
- relatives à l’infrastructure qui permettent la gestion du parc informatique
- de fourniture et/ou gestion applicative qui ont pour objet de gérer des logiciels et progiciels achetés ou lioués par le client (ERP, CRM, …)
- globales qui inclut l’intégralité du système d’information
Cette externalisation – globale ou partielle – d’une ressource aussi stratégique d’une organisation nécessite la mise en place d’un contrat
Différences entre infogérance et services managés
Si les deux termes sont souvent confondus, il existe quelques différences entre la pratique de l’infogérance et celle des services managés (ou managed services).
Sans trop rentrer dans le détail (nous dédierons un article complet sur le sujet), on note une différence fondamentale s’agissant des objectifs. En général, l’infogérance a – comme son nom l’indique – pour principal objet de gérer tout ou partie du SI d’une organisation ce qui implique une approche réactive (problème->solution) et une délégation de la gestion. D’une manière différente, le prestataire de services managés intervient en soutien d’une DSI, davantage sur un mode de cogestion, et avec une mission souvent plus en amont, plus proactive sur l’optimisation et amélioration du SI.
Enfin, selon l’AFNOR, les services managés sont une catégories de la famille de l’infogérance.
Les principaux points de vigilance du contrat d’infogérance
Périmètre : ce que couvre ou non le contrat
Le contrat d’infogérance doit définir clairement l’étendue des services à fournir. Cela inclut les services informatiques à gérer, le niveau de service requis et les niveaux de performance attendus. Le champ d’application du contrat doit également préciser les responsabilités de chaque partie, y compris les obligations du prestataire de services en matière de maintenance et de mise à jour de l’infrastructure informatique.
Performance : les SLA (Service Level Agreements)
Le contrat d’infogérance doit inclure des niveaux de service (les fameux SLA) qui définissent les niveaux de service attendus.
Au delà d’une simple définition des niveaux de service, le contrat doit également prévoir d’autres indicateurs de performance tels que les délais de réponse aux demandes d’assistance, la disponibilité des services informatiques ou encore le temps de fonctionnement prévu de l’infrastructure informatique.
Enfin, les pénalités applicables en cas de non-atteinte de ces niveaux de service doivent également être prévues, tant sur le quantum (taux/assiette/plafond) que sur les modalités d’application et/ou exonération.
Coûts : prix, termes de paiement et évolutivité
Le contrat doit bien entendu définir clairement les coûts des services d’infogérance et les modalités de paiement.
Cela inclut les frais pour les services fournis, tout coût supplémentaire pour le matériel ou les logiciels, et toute pénalité en cas de non-paiement. Des stipulations particulières peuvent être insérer afin d’intéresser le prestataire aux économies réalisées avec les « vendors » et autres éditeurs/fournisseurs du client.
Enfin, les conditions de paiement doivent préciser le calendrier de paiement, y compris la fréquence des paiement, l’indemnité pour retard de paiement mais aussi d’éventuelles modalités de compensation entre pénalités inhérentes aux SLA et paiements dûs au service provider.
Sécurité : mesures et protection des données personnelles
La mise en place d’un accord de confidentialité (NDA) n’est pas suffisante pour assurer la sécurité et confidentialité des services réalisés par un prestataire de service. En matière d’infogérance, il est aujourd’hui essentiel que le contrat d’infogérance comporte des stipulations relatives à la sécurité et à la protection des données.
A ce titre, il s’agira notamment de s’assurer de : (i) la mise en place de processus adéquats, (ii) la présence de documentation relative aux mesures et processus en la matière, et enfin (iii) l’existence de formations et sensibilisations régulières du personnel.
Ces mesures, documentations et bonnes pratiques en matière de protection contre les accès non autorisés, intrusions, violations ou pertes de données, procédures de sauvegarde, modalités de récupération des données, et plus généralement gestion des incidents de sécurité sont aujourd’hui des must-have imposés par grands comptes privés comme publics.
Management : reportings et résolution des difficultés
Le sujet du management est un point essentiel, pourtant souvent négligé dans les contrats d’hébergement (ou MSP pour Managed Services Provider).
Pourtant, il s’agit d’une thématique essentielle pour s’assurer du suivi de la performance d’un contrat, de l’anticipation des difficultés, des risques et évolutions, mais également des modalités de prise en charge (et éventuellement d’escalation) des difficultés rencontrées en cours de contrat.
Pour résumer, afin d’éviter de devoir mettre en oeuvre les clauses de responsabilité ou de résiliation, pensez à consacrer le temps nécessaire à contractualiser les sujets de management de la performance dans vos contrats. En pratique, cela pourra aller de reportings prévus lors de revues trimestrielles (ou QBR – Quarterly Business Review) qui permettront d’identifier les actions réalisées, temps d’intervention ou encore les services sous-utilisés.
Durée, résiliation et renouvellement
Le contrat d’infogérance doit comporter des stipulations relatives à la durée d’engagement, ainsi qu’aux modalités de résiliation ou renouvellement.
Les circonstances et modalités dans lesquelles le contrat peut être résilié (avec ou sans faute du prestataire), le préavis requis pour la résiliation et des éventuelles pénalités en cas de résiliation anticipée doivent figurer, ainsi que les conséquences en matière de réversibilité et accompagnement à la transition avec un nouveau prestataire ou une réinternalisation de la fonction.
Le contrat doit également préciser les conditions de renouvellement, y compris toute modification de l’étendue des services ou des modalités de paiement.
Responsabilités
Last but not least : parlons responsabilité ! Qui est responsable de quoi en cas de pépin ?
En général lorsque l’on se repenche sur cette clause après la conclusion du contrat, c’est que la relation entre les parties a commencé à se tendre : raison de plus pour y consacrer du temps au stade de la mise en place du contrat !
On parle ici principalement de la clause qui traite de la responsabilité des deux parties en cas de dommages, pertes ou de réclamations résultant du travail du prestataire de service (ou de l’un . Elles définissent également les limites et les exclusions de responsabilité, ainsi que les obligations et les procédures d’indemnisation. Les clauses de responsabilité et d’indemnisation doivent être équilibrées, raisonnables et conformes aux lois et règlements applicables. Vous devez négocier les clauses de responsabilité et d’indemnisation avec le fournisseur en fonction de la nature et de l’étendue des travaux, des risques et impacts potentiels, ainsi que de la couverture et des polices d’assurance.
Conclusion
La conclusion d’un contrat d’infogérance est un passage obligatoire pour de nombreuses entreprises, petites et grandes. S’assurer d’un partenariat durable et efficace entre client et fournisseur de services d’infogérence nécessite – a minima – de prendre en compte les points essentiels abordés dans ce article.
Cependant, il demeure essentiel de garder en tête que la conclusion du contrat n’est qu’une étape (certes importante) du cycle de vie du contrat. Vient ensuite celle de l’exécution et du pilotage du projet, tout aussi cruciale.
Pour toute assistance en la matière, n’hésitez pas à contacter l’équipe de consultants contract management de Prime Conseil !
