LeMondeInformatique.fr

Comment bien maitriser l'externalisation de ses solutions


Edition du 06/07/2011 - par Bertrand Lemaire


L'AFAI et l'AeSCM ont présenté leur travail conjoint sur la maîtrise de l'externalisation au cours d'une conférence commune le 4 juillet 2011.



« L'externalisation croit, notamment du fait du cloud computing, mais aussi sous la pression de la nécessité de répondre aux attentes de l'entreprise au plus vite et au plus efficient » a diagnostiqué Marie-Noëlle Gibon, présidente de l'Ae-SCM (association de promotion du référentiel eSCM) en ouvrant un colloque commun AeSCM/AFAI (Association Française de l'Audit et du Conseil Informatique) le 4 juillet 2011. Or, par définition, l'entreprise ne contrôle pas ce qui est externe à elle. Il convient malgré tout de le maîtriser tout en maintenant une relation équilibrée et durable.

Les directions métiers ou les clients de l'entreprise ne doivent en effet pas avoir à s'apercevoir que telle ou telle fonction est externalisée. L'intégration interne/externe doit être « sans couture ». Or, comme le reconnaît volontiers Marie-Noëlle Gibon, en plus des risques inhérents à tous les projets informatiques, « l'externalisation comporte ses risques propres ».

Passer en mode SaaS pour aller plus vite

Hubert Tournier, adjoint au DOSI du Groupement des Mousquetaires, a ainsi expliqué l'attrait du cloud computing : « les DSI autant que leurs clients internes peuvent chacun utiliser des solutions sur étagères, notamment du SaaS, pour aller plus vite. » Il existe cependant une tendance gênante : la remise en concurrence permanente. Il y a là une perte de temps considérable à chaque fois.

De nouveaux prestataires apparaissent pour répondre à cette demande encore mouvante, parfois des éditeurs classiques qui découvrent ainsi un nouveau mode de relation avec leurs clients. Mais, selon Hubert Tournier, une relation contractuelle sur huit se termine très mal de manière prévue assez en amont. Il y a, de ces faits, un manque de confiance entre clients et fournisseurs.

Une mutualisation de la confiance

Or, pour conquérir cette confiance, les clients cherchent à auditer au maximum leurs prestataires pour vérifier qu'ils utilisent bien les meilleures pratiques et les dispositifs de contrôle interne appropriés. Pour éviter de subir un grand nombre d'audits, ce qui est toujours consommateur de ressources, les fournisseurs ont tendance à opter pour des certifications. Celles-ci sont censées permettre, en quelque sorte, de mutualiser la confiance en évaluant une seule fois un prestataire. Pour Pascal Antonini, président de l'AFAI, « les référentiels permettent aux clients et aux fournisseurs de s'entendre, notamment grâce à un vocabulaire commun. »

L'AFAI et l'Ae-SCM ont ainsi travaillé sur la double certification eSCM et SAS70, les intérêts et limites de la convergence de ces deux référentiels. ESCM concerne en effet les achats IT et SAS70 toutes les externalisations. « SAS70 est un standard d'audit de toute externalisation, l'IT comme les autres » mentionne Serge Yablonsky, président d'honneur de l'AFAI. La conjonction des deux permet de préciser le champ à auditer dans les externalisations IT. SAS70 évolue en ce moment vers une nouvelle norme, ISAE 3402, plus complète.

Des réticences persistent

Cette démarche a cependant aussi ses inconvénients : outre son coût direct, toute certification prend du temps. Et les clients ne sont pas tous sensibles aux charmes d'un référentiel unique, exigeant malgré tout un audit propre, ce qui anéantit l'intérêt de la démarche. En fait, le véritable problème à résoudre reste une maturité dans la relation client-fournisseur. « Ce rapport doit évoluer en solidarité professionnelle » juge Hubert Tournier.

Un livre blanc commun


L'Ae-SCM et l'AFAI ont publié un livre blanc commun intitulé « eSCM et SAS 70 : l'assurance vie du client ». Réalisé par des auditeurs internes et des consultants, il commence par repositionner les enjeux de l'externalisation, de sa qualité et des apports théoriques des deux référentiels.

Le coeur de l'ouvrage est une suite de sept témoignages des auteurs ou de personnes interrogées par eux, en lien avec leurs expériences d'implémentation des deux référentiels. Ils concernent autant des prestataires que des entreprises utilisatrices pour bien montrer les apports des deux côtés.

Les importantes annexes présentent les différentes référentiels de bonnes pratiques cités dans l'ouvrage.

Ce livre blanc est dédié à François Renault, qui signe l'une des préfaces, président de l'AFAI récemment décédé, qui avait initié ce travail.

 

   
WEBCAST
VIDÉOS
La flexibilité internationale du cloud chez Rexel

La flexibilité internationale du cloud chez Rexel

« Entre 2004 et 2009, Rexel est passé de 6 à 12 milliards d'euros de chiffre d'affaires, cette croissance...

CONFERENCE TELECOMS ET RESEAUX DE NOUVELLE GENERATION : Intervention IBM

Gain en réactivité, amélioration de la flexibilité, ROI et moteur d'innovation : des promesses... à la...

>> Toute les vidéos cloud

CONFERENCES
29/09/2011
LE DECISIONNEL A L'HEURE DES RESEAUX SOCIAUX : Exploiter les bonnes données
De 8h30 à 14h00 au Pavillon Dauphine - Paris 16e
 
INSCRIVEZ-VOUS
LIVRES BLANCS
PLAN DE REPRISE AVEC ETERNUS DX - PROTECTION DES DONNEES - ET VMWARE SRM
Un Plan de Reprise d'Activité est aujourd'hui incontournable pour la protection des données et la continuité (...)

télécharger
Supervision de la performance applicative (APM) : cinq éléments essentiels
La performance applicative (APM, Application Performance Monitoring) vise surtout l'utilisateur et se (...)

télécharger
Tous les Livres Blancs