Prime Conseil

Retour au blog
10/10/2023

Prestation d’infogérance : les points de vigilance avant de se lancer

Article de blog :
Henri Zouingnan

Depuis plusieurs années, l’informatique a pris une place plus que centrale dans le bon fonctionnement et développement des entreprises ou organismes publics, et ce quel que soit leur taille. Toutefois, la gestion quotidienne des systèmes d’information n’est chose aisée et le recours aux prestations d’infogérance est devenu une pratique courante qui présente un certain nombre d’avantages mais aussi de risques qu’il convient d’évaluer avant de se lancer. Nous nous attardons sur ce dernier aspect dans cet article.  

 

Qu’est-ce que l’infogérance ?

L’infogérance consiste à confier à un prestataire externe la gestion de tout ou partie de son système d’information. Elle couvre un large spectre de prestations qui peuvent aller du simple hébergement de données à la gestion externe et complète du système d’information du client.

L’objectif de cette externalisation pour la plupart de nos clients est de se recentrer sur leur cœur d’activité, profiter des avantages que cette formule propose tels que l’expertise informatique, la réduction des coûts, l’accès aux dernières technologies, le gain de productivité ou encore l’amélioration de la sécurité de leur système informatique.

Toutefois, cette opération n’est pas sans risque et nous vous proposons d’identifier ci-après certains d’entre eux afin de les mettre en avant dans le cadre de vos négociations avec votre prestataire.

 

Les risques inhérents à la sous-traitance

L’infogérance est une prestation qui n’échappe pas aux risques que l’on pourrait qualifier d’« habituels et classiques » de la sous-traitance, à savoir :

  • l’adéquation des capacités techniques, financières et ressources du prestataire nécessaires à la bonne exécution des prestations. Ce dernier devra être en mesure de transmettre l’ensemble des éléments nécessaires à rassurer son client sur ces aspects ;
  • la fourniture de services inadaptés découlant d’une mauvaise compréhension des besoins et d’un défaut de conseil. L’expression du besoin est une étape indispensable d’une prestation de service. Il s’agit là d’être le plus précis possible sur ses attentes, ses contraintes et d’être particulièrement attentif aux solutions mises en avant par le prestataire ;
  • le manque de transparence sur l’organisation de la prestation, et notamment, sur le respect des contraintes de sécurité en cas de sous-traitance en cascade. Des garanties suffisantes doivent être apportées afin de permettre une exécution des prestations conformément aux exigences de sécurité établies ;
  • la dépendance vis-à-vis du prestataire lorsque son offre ne comporte pas de portabilité des services proposés ou de prestations de réversibilité. Cet aspect doit être abordé préalablement à la conclusion du contrat et doit être une partie intégrante de l’offre du prestataire et ce afin de ne pas être pris au dépourvu et éviter toutes les difficultés opérationnelles à la fin de la relation contractuelle.

L’ensemble de ces points d’attention permettent une analyse et une réflexion amont dans le choix du prestataire et ce selon son besoin, sa stratégie dans le temps et les objectifs que l’on souhaite atteindre. Nous recommandons à nos clients d’y accorder autant d’importance que les modalités financières et techniques et de les encadrer au sein de leurs contrats.

 

Les risques propres aux prestations d’infogérance

L’externalisation de la gestion de tout ou partie de son système d’information entraine d’autres risques propres à ce type de prestation et qui, s’ils ne sont pas encadrés, peuvent en provoquer la perte de maîtrise et avoir un sérieux impact sur son activité. Nous pouvons catégoriser ces éventuelles défaillances comme suit :

  • Sécurité des données : le manque de clarté sur la gestion et la localisation des données pouvant constituer un facteur d’aggravation des risques d’atteinte à la confidentialité desdites données. Le client doit être en mesure de s’assurer que l’ensemble des lieux d’hébergement répondent à ses exigences de sécurité et aux obligations légales et règlementaires applicables. Le risque de divulgation d’informations sensibles doit en tout temps pouvoir faire l’objet d’une évaluation et ce afin de pouvoir prendre les décisions adéquates en connaissance de cause ;
  • Données à caractères personnel : le non-respect des dispositions du Règlement Général sur la Protection des Données (RGPD) est très lourdement sanctionné (plus de 100 millions d’euros d’amendes infligées en France par CNIL en 2022). Il conviendra donc de déterminer les responsabilités et de vérifier que les obligations légales spécifiques pourront être respectées dans l’environnement d’externalisation par le prestataire;
  • Interventions à distance : la réalisation des prestations d’infogérance à distance peut soumettre le système d’information peut générer différents types de failles susceptibles de considérablement l’affecter et avoir de lourdes conséquences pour l’organisation. Nous pouvons, à titre d’exemple, lister les intrusions par des personnes non-autorisées, l’abus de droit d’un technicien qui accèderait, téléchargerait ou modifierait des données sensibles ou encore la difficulté à assurer la traçabilité des interventions. Ces situations peuvent être maîtrisées en recensant et en analysant les dispositifs et les mesures de sécurité techniques et organisationnelles proposées ;
  • Hébergement mutualisé : celui-ci consiste à héberger plusieurs services sur un seul et même serveur, afin de rationaliser les ressources. Dans la majorité des cas, les services concernés sont des sites Web, des services de messagerie ou des bases de données. Ce co-hébergement dans un environnement moins bien maîtrisé accentue le risque de perte de disponibilité, d’intégrité ou de confidentialité des services. Les solutions mises en place en cas d’attaque ou de prévention d’incident ainsi que de réversibilité là également doivent clairement être définie afin de limiter ces inconvénients ;
  • Choix techniques du prestataire : il est parfois nécessaire en cours de contrat de faire évoluer son système d’information afin d’intégrer de nouvelles fonctionnalités, s’adapter aux nouvelles règlementations ou pour des raisons d’obsolescence. Dans ce cas, les choix techniques du prestataire peuvent être inadaptés afin de répondre aux besoins du client. Le contrat devra permettre de valider ces choix et les aménagements nécessaires.

 

Conclusion

Il est indéniable que l’infogérance offre des avantages dans la productivité et développement structurel d’une organisation. Cependant, et comme nous avons voulu le mettre en avant tout au long de cet article, ce processus d’externalisation n’est pas dépourvu de risques qu’il est nécessaire de limiter tout au long des échanges avec le prestataire et donner toutes les chances de réussite à un tel projet.

A ce titre, notre équipe en Contract Management, qui est régulièrement sollicitée sur ce genre de sujet, est à votre écoute afin de vous faire part de son expertise et de ses solutions d’accompagnement.

 

 

Prime Conseil
Contract management excellence for sustainable profitability
Call to action
Découvrir
Les articles récents
Faisons connaissance
Email
contact@primeconseil.com
Blog
Les articles récents
Voir tous les articles de blog
Contact
Faisons connaissance
Email
contact@primeconseil.com
Adresse
2, Parvis des Ecoles - 83000 Toulon
38, Rue Jean Bouchet - 86000 Poitiers
40, Rue du Colisée - 75008 Paris
Téléphone
04 12 33 31 01
Restez informé, inscrivez-vous !
Retour en haut