icon_plus_one

1

icon_less_one

debate

Externalisation des Services Informatiques : Quels critères ?


L’externalisation est une pratique qui concerne aujourd’hui un grand nombre d’activités, comme l’informatique, les ressources humaines, la relation clientèle, la comptabilité. Il est important de noter que ce terme est souvent confondu avec le terme sous-traitance. Certes ces deux termes présentent des similarités, mais comme le font remarquer les spécialistes, la sous-traitance est un procédé qui concerne la production (pièces de voiture, fabrication de vêtement,…) ; alors que l’externalisation concerne surtout les fonctions d’une entreprise.

Pour faire face à la crise actuelle, les entreprises veulent réduire leurs coûts et préfèrent se concentrer sur leur cœur de métier. Elles font donc appel à des prestataires de services, qui sont externalisés pour réaliser le ou les services qu’elles jugent, trop coûteux à réaliser, comme les services informatiques.

Parmi les nombreux services informatiques qui peuvent être externalisés, nous pouvons citer :

  • les services liés au web, comme le développement de sites internet (création, refonte, etc),
  • la rédaction de contenu (article, communiqué de presse, etc),
  • le webmarketing,
  • la saisie de données (la transcription audio, la saisie d’annuaires, de catalogues, etc),
  • la réception et l’émission d’appels via les call-centers,
  • l’infogérance informatique.

LES CRITÈRES A PRENDRE EN COMPTE

De ce fait, il est important que chaque entreprise qui souhaite avoir recours à cette pratique, prennent en compte différents critères, sinon elles risquent de se mordre les doigts.

Avantages:

  • L’économie de coût. C’est le principal attrait de l’externalisation, son importance se traduit par les économies réalisées par une entreprise qui externalise ses services à étranger. Dans un pays, où souvent les ressources sont moins coûteuses, de même que les coûts des infrastructures.
  • Les compétences du prestataire, qui permet de minimiser les risques. En s’appuyant sur des spécialistes compétents dans leurs domaines, les entreprises donneuses d’ordre s’assurent de la part de leur partenaire, un gage de qualité et la maîtrise technologies, par rapport au travail demandé.
  • La flexibilité des prestataires. En faisant appel à un prestataire externalisé pour des besoins qui seraient saisonniers, l’entreprise client le laisse s’adapter à ces besoins, selon ses horaires.
Inconvénients:

  • Perte d’identité et dépendance des donneurs d’ordre. En effet, en faisant appel à un prestataire externalisé, il y a souvent une perte de ressource et de compétence, pour les entreprises clientes.
  • La confidentialité des données de l’entreprise cliente, peut se retrouver compromise si elle ne travaille pas en partenariat avec le prestataire, sur une base de confiance et respect mutuels.
  • Si les accords du partenariat (délais, de consignes, de confidentialité,…) ne sont pas bien définis et respectés par les deux parties, dans un cahier des charges ou autre document, il y aura des répercussions sur la qualité, la livraison du travail. Sans oublier la naissance de conflits entre les parties.

CONCLUSION

Dans le cadre de la définition d’un projet ayant recours à des prestataires externalisées, les possibles avantages et risques doivent être minutieusement pris en compte. Il est important de collaborer avec des prestataires spécialisés, compétents et expérimentés. Il est aussi recommandé de s’adresser à des experts qui sauraient apporter des conseils professionnels avisés.



01

Opened by Tojo Ramasy, Chargé de clientèle, Softibox.com
Apr 1, 2014.



recommanded this debate


Participate in the debate


icon_plus_one

2

icon_less_one
04

Gwenael de Cambourg Conseiller Technique Soutien pétrolier, EMSD METZ
Apr 1, 2014

recommanded this answer



Les méthodologies de maitrises des risques s'appliquent bien en préparation de ce type d'opération.

Car il s'agit bien de risque, logiquement mis en regard de gains potentiels.

elle passe par l'élaboration, pour chaque pan du périmètre "SI", d'une cartographie des risques, associée à une évaluation de la probabilité et de la gravité.

Dans ce domaine, comme dans beaucoup d'autre, l'évaluation de probabilité et de la gravité ne peux être réalisée de manière rigoureusement chiffrée.

La gravité est une donnée subjective, qui n'est quantifiable que par l'entreprise, mais peut se traduire en perte financière, perte d'image, perte de secret technologique ou commercial, perte de capacité opérationnelle.

La probabilité est une donnée partiellement objective (l'aspect technique) mais difficilement quantifiable, et pour une autre partie (le cas de la malveillance, notamment espionnage industriel ou commercial), subjective et difficile à évaluer même avec l'aide d'experts.

Mais si ces évaluation sont assez peu quantifiables, elles sont en revanches assez faciles à hiérarchiser. Est il plus grave pour vous de perdre des données, ou de voir un concurrent y accéder ? Une interruption de service d'un logiciel, d'un serveur, d'une fonction donnée a t-elle un impact critique au bout d'une minute, d'une journée, d'une semaine ? Cette hiérarchisation permet de guider le choix des segments qui seront externalisés, et oriente sur la répartition des ressources au sein du projet.

Il importe de ne pas négliger dans cette analyse des risques la phase de transition, ni dans son aspect techniques (perte temporaire/définitive de données, notamment les plus anciennes qui peuvent dater de plusieurs migration, perte temporaire de services, effet sur les individus, l'organisation, et les clients.

Cette cartographie des risques, idéalement adossée à une modélisation de type "nœud papillons" pour chacun des risques identifiés, permet une analyse stratégique non seulement de l'opportunité de cette externalisation, mais aussi des solutions techniques retenues, chaque mesure de prévention technique ou organisationnelle pouvant être positionnée sur ces modèles.

Reste l'évidence: externaliser une partie de ses moyens informatiques et une décision stratégique, et particulièrement quand elle touche aux cœur de métier. L'analyse amont est un facteur clé du succès d'une telle manœuvre.


Comment on this response

Antoine Fournier 67 Antoine Fournier Head of ECM, Input and Output management, Zurich Insurance

Apr 2, 2014

Merci pour cette réponse. Qu'entendez-vous par "modélisation nœud papillon" ?


Gwenael de Cambourg 04 Gwenael de Cambourg Conseiller Technique Soutien pétrolier, EMSD METZ

Apr 2, 2014

La méthode des nœuds papillon est un outil utilisé habituellement en prévention des risques industriels. Il me semble qu'elle s'appliquerait cependant bien à la préparation d'une telle opération stratégique.

Elle demande, pour être menée efficacement, la constitution d'une équipe pluridisciplinaire. Pour transposer la logique de domaine HSE, il s'agirait ici de regrouper une compétence informatique, une connaissance approfondie du ou des métiers de l'entreprise, et la vision stratégique.

Cette équipe commence par réaliser une analyse "préliminaire" des risques, en vue d'identifier les "évènements redoutés centraux". En maîtrise des risques industriels, il pourrait s'agir, par exemple, de la perte d'étanchéité d'un réservoir de produit dangereux. Dans notre cas, il peut s'agir de perte de donné, d'interruption d'un service apporté au client ou nécessaire au fonctionnement interne. La compromission d'information, et sans doute bien d'autre faits peuvent être pris en compte, suivant le domaine professionnel.

L'important est, à cette étape, de se limiter au fait critique, à l'élément de rupture, sans ni anticiper sur les conséquence ou chercher à ce stade à rechercher les conséquences.

Une fois listés ces évènements, il s'agit en amont de remonter la chaine des causes et en aval, de détailler les conséquences/effets collatéraux.

On obtient à la fin de ce raisonnement, une série de schéma où un ensemble de causes, et plus généralement de successions de causes sont reliées par des opérateurs ("portes") booléens (ET /OU), convergent vers un évènement unique. De cet évènement unique découle un ensemble de succession de conséquences, elles aussi articulées avec ces opérateurs.

Enfin, il faut évaluer ou déterminer la probabilité d'occurrence de chaque cause et la gravité de chaque conséquence.

Le premier avantage de cette méthode est de permettre d'une part une évaluation de chaque risque, et mesurer sa criticité, déterminée en multipliant la probabilité d'occurrence par l'indice de gravité, ou en positionnant chaque risque dans un tableau ayant ces deux éléments en abscisse et en ordonnée. Dans le domaine industriel, certaines cases de ce tableau sont jugées acceptable, d'autre non)

Son second avantage est de permettre de revenir sur un second niveau d'analyse des risques à l'issue de l'analyse, dans lequel on traduit les mesures de sécurité en "barrières de sécurité" qui viennent modifier l'évaluation initiale. Pour reprendre l'exemple de la perte de donnée, un stockage redondant viendra diminuer la probabilité d'occurrence sur la branche causale liée à une défaillance matérielle, sans diminuer la probabilité de défaillance liée à la transition entre les systèmes de stockage. Il existe des méthodes pour déterminer le bénéfice en sécurité d'une mesure de sécurité humaines (Oméga 20) ou technique (Oméga 10). On peut ainsi évaluer le bénéfice d'une mesure de sécurité, en terme de diminution du risque, et évaluer sa pertinence économique..

L'adaptation de cette méthode à l'analyse d'une externalisation est délicate, faute d'équivalent aux bases de données d'accidentologie, mais offre une finesse d'analyse qui n'à, à ma connaissance, aucun équivalent. Et la cotation en probabilité reste réalisable, même si elle ne peut qu'être approximative, sur une logique d'ordre de grandeur, avec les mêmes tableaux qui sont utilisé en prévention, et qui repose sur une évaluation simple de la fréquence d'occurrence connue

Ma réponse est un peu longue, mais c'est aussi le principal défaut de cette méthode, que de consommer trop de temps pour être mise en œuvre pour des évènements aux conséquences mineures. Il me semble cependant que certaines grosses opérations de migration ou d'externalisation informatique peuvent être assez lourds de conséquences pour l'entreprise pour mériter les mêmes analyse qu'un rupture de canalisation de gazole, ou que l'explosion d'un camion citerne.



icon_plus_one

1

icon_less_one
09

Antoine Bouchet Consultant indépendant
Apr 1, 2014

recommanded this answer



Bonjour,

on peut effectivement externaliser une grande partie de son informatique. Cela pose pas mal de questions parmi lesquelles :

- externaliser, c'est perdre une partie de son autonomie. Jusqu'où peut-on se le permettre sans mettre en cause l'indépendance de l'entreprise ? Peut-on par exemple imaginer d'infogérer l'informatique de production : dans ce cas, est-on encore maître chez soi ?

- avec qui et comment externaliser ? Bien entendu, il convient de se tourner vers une entreprise ayant de solides compétences, mais aussi de bétonner le contrat, afin que les opérations nécessaires à la vie du SI ne se traduisent pas chaque fois par des avenants très coûteux.

- bien entendu, conserver en interne suffisamment de compétences pour comprendre ce que fait le prestataire et le piloter, mais aussi se doter d'une maîtrise d'ouvrage plus forte qu'avec une informatique interne, car ce qui est mal défini sera durablement mal programmé (sauf à admettre des surcoûts importants).

- et puis aussi on n'externalise pas sa responsabilité. Ca n'a l'air de rien de le dire, mais la tentation peut être forte : j'externalise, donc c'est le prestataire qui porte le risque. Pas du tout ! Ce n'est pas le prestataire qui perd ses clients en cas de clash ! Donc notamment, on garde la main sur la sécurité, ce qui ne veut pas dire que certaines fonctions de sécurité ne peuvent pas être externalisées, mais on garde les moyens de piloter la sécurité, de contrôler et d'exploiter les données de sécurité.

Comment on this response