Définir et piloter une politique d’infogérance

L’infogérance, problématique des SI modernes

La pratique de l’infogérance s’est développée à dater des années 1990, à la faveur des évolutions technologiques qui ont ouvert de nouvelles possibilités de déporter les ressources hors de l’organisation afin d’en mutualiser soit l’infrastructure soit l’exploitation. La montée des contraintes économiques a conforté cette tendance, en offrant aux entreprises et aux administrations des solutions optimisées du fait de la spécialisation et de l’industrialisation des prestations externalisées.

L’infogérance se distingue de la simple prestation de service en ce qu’elle déporte (ou ambitionne de déporter) le centre de gravité des ressources et confie à un prestataire externe un mix de moyens, d’expertise et d’opérationnalité qui le place en posture de quasi-manager de pans entiers du SI. Cette délégation de responsabilité doit être soigneusement encadrée et se traduit par des engagements de service globaux et forfaitisés.

En évolution rapide, le marché de l’infogérance se structure et se concentre pour offrir, depuis les années 2010, des prestations d’infogérance globale (c’est-à-dire conjuguant infrastructures, exploitations et projets) et en convergence (informatique, réseau, communication et éditique en un même mix de service). Dès lors, c’est la totalité du SI d’une organisation qu’il est désormais possible d’externaliser, avec comme corollaire de la performance, l’enjeu nouveau de la dépendance. Dépendance qui se traduit par des risques tels que la perte de contrôle sur le stockage et la préservation des données ; la translation des priorités stratégiques du client vers celles du fournisseur ou, en bout de piste, la quasi-impossibilité de quitter un prestataire si une politique de réversibilité n’est pas solidement mise en œuvre. Regardée ainsi, l’infogérance...

Les avantages et les inconvénients du choix de l’infogérance

L’analyse avantages/inconvénients préside au choix d’une stratégie d’infogérance. Cette analyse est nécessairement multicritère et embarque, pour l’essentiel, une lecture spécifique des forces et faiblesses de l’organisation concernée. Nous reprenons ci-après, à titre d’illustration, la grille d’analyse avantages/inconvénients du choix de l’infogérance telle qu’intégrée au SDSI de notre cliente, la Société nationale des attaches et trombones (Sonate) :

Définir le périmètre d’une politique d’infogérance

Première phase du cycle de vie d’un projet d’infogérance, l’analyse du périmètre doit permettre d’évaluer les opportunités d’externalisation, d’en appréhender les conséquences en matière d’organisation et donc de ressources humaines, d’en estimer l’impact financier, d’en évaluer les bénéfices attendus ainsi que les risques. Les informations nécessaires à la conduite de cette analyse peuvent être organisées en utilisant la 2MSI. L’analyse se fera alors cellule par cellule en caractérisant des critères tels que : opportunités, organisation, conséquences financières, bénéfices, risques.

Matrice d’analyse stratégique de l’infogérance

Une fois l’analyse stratégique réalisée, il est possible de cartographier le périmètre de la politique d’infogérance. C’est-à-dire de déterminer, pour chacune des cellules de la matrice, si elle est concernée par l’externalisation envisagée :

Cartographie de l’infogérance

L’infogérance à la carte ou par grands domaines : quel modèle choisir ?

Dans la section précédente, nous effectuons une analyse au cas par cas de chacune des cases de la matrice 2MSI. Mais ce modèle est-il satisfaisant ? Pouvons-nous en imaginer d’autres ? Quels en sont les avantages et inconvénients ? Nous pouvons postuler qu’il existe très peu de situations dans lesquelles le périmètre d’une infogérance collerait exactement au découpage des cases de la 2MSI. Nous explorons ci-après quelques modèles plus opérationnels :

Infogérance à la carte

Dans ce modèle, le périmètre d’un contrat d’infogérance (ici défini par un certain niveau de gris) peut ne pas concerner toute une case de la matrice, en chevaucher les limites, et s’étendre à plusieurs couches du SI.

Cette solution, la plus souple, a l’avantage de développer une politique d’infogérance au plus près de l’analyse des forces et faiblesses du SI. En revanche, elle présente l’inconvénient majeur d’un manque de lisibilité et elle multiplie les problématiques de définition des périmètres de responsabilité et d’intervention des différents acteurs (voir ci-après les tableaux...

Formaliser contractuellement le périmètre de la prestation d’un infogérant

Nous reprenons, ci-après, à titre d’illustration, la définition contractuelle de l’infogérance du centre de services des environnements de travail utilisateurs de notre exemple, la Société nationale des attaches et trombones. Dans le cas présent, cette définition est adossée à un découpage selon les grands processus ITIL.

Pour chaque processus, sont indiqués :

Tableaux de définition des niveaux de responsabilité de l’infogérant du Centre de services poste de travail de la Société nationale des attaches et trombones (SONATE)

Gérer les infogérances en cascade

L’intervention conjointe de plusieurs infogérants nécessite, certes, de délimiter les périmètres de prestation de chacun. Cependant, cette pratique place le maître d’ouvrage dans une posture contraignante qui l’oblige à faire le lien entre les infogérants (retranchés chacun dans leur périmètre) afin de garantir la nécessaire coordination transversale sans laquelle le SI ne saurait fonctionner. Une autre pratique consiste alors à organiser contractuellement une coordination qui s’établit directement entre les infogérants, sans le média du maître d’ouvrage.

Nous reprenons ci-après, à titre d’exemple, les trois niveaux de coordination de « services tiers » prévus par le contrat d’infogérance du centre de services des environnements de travail utilisateurs de la Sonate :

Les situations évoquées s’appliquent à l’ouverture et au traitement d’un ticket relatif à un incident sur un poste de travail.

Gestion des services tiers/cahier des charges infogérance du centre de services de la Sonate

Services tiers relayés. Dans le cas de services tiers relayés, l’intervention...

Définir les unités d’œuvre d’un contrat d’infogérance

Les unités d’œuvre qui fondent la relation économique entre maître d’ouvrage et infogérant ont une part importante dans l’équilibre de la relation contractuelle. Pour cela, elles doivent refléter sincèrement la mobilisation des moyens de l’infogérant en rapport avec le niveau de service attendu par le client et la sécurité avec laquelle ce service doit être rendu. Elles doivent aussi s’inscrire dans une logique de cercle vertueux qui permette une amélioration continue des processus, le maintien de la qualité du service rendu, et également la non-dégradation de tout ce qui fonde le système d’information, y compris la gestion de la connaissance ou encore la gestion du risque.

Ces unités d’œuvre doivent avoir également d’autres vertus pour en faciliter l’administration, voire le contrôle. En ce sens, un catalogue pléthorique d’unités d’œuvre à l’acte ne serait pas facilement administrable et contrôlable.

Les unités d’œuvre choisies doivent laisser à l’infogérant toutes ses marges de manœuvre dans sa propre organisation. Si un client fait appel à de l’out-sourcing, c’est bien parce qu’il ne sait pas ou ne veut pas faire. La réponse de l’infogérant, ses savoirs et savoir-faire seront alors au service de l’objectif de performance et de sécurité du client. Il est donc très important que les unités d’œuvre ne conditionnent pas une relation de donneur d’ordre à exécutant, mais incarnent plutôt une relation partenariale de type gagnant/gagnant. Par exemple, faire en sorte que l’infogérant ait tout intérêt à prévenir les incidents, de sorte à en diminuer...

La protection du patrimoine informationnel

Le Cigref (Club informatique des grandes entreprises françaises) définit le patrimoine informationnel comme « l’ensemble des données et des connaissances, protégées ou non, valorisables ou historiques d’une personne physique ou morale ». C’est donc un patrimoine immatériel dont l’essentiel, et de plus en plus l’intégralité, est porté par le système d’information, qu’il s’agisse des données ou des processus.

Ce patrimoine est souvent indispensable au bon fonctionnement de l’organisation qui en est propriétaire. Aussi son propriétaire doit s’assurer que ce patrimoine reste disponible à tout utilisateur qui en a besoin pour son activité et qui est autorisé à y accéder, qu’elle soit conservée de façon intègre dans le temps, que son imputabilité soit garantie et donc son origine tracée. Il doit donc en assurer la protection, en garantissant sa disponibilité et sa confidentialité, son authenticité et son intégrité, sa traçabilité et sa pérennité.

Quel que soit le modèle d’infogérance, le titulaire d’un tel contrat aura toujours en charge au moins une part de ce patrimoine informationnel, ou au minimum...

Le monitoring de la réversibilité avec la matrice 2MSI

Chaque marché d’infogérance fait l’objet d’un plan de réversibilité. Un tel plan est défini dans une version initiale au moment de l’offre d’infogérance et porte à la fois sur la réversibilité entrante et sortante.

La réversibilité entrante, ou « transfert de service » en référentiel eSCM-CL, comporte au minimum :