L'infogérance[1] est la prise en charge contractuelle, par un prestataire extérieur, d'une partie ou de la totalité des ressources informatiques d'une entreprise[2]. Ce service est défini comme le résultat d'une intégration d'un ensemble de services élémentaires, visant à confier à un prestataire informatique tout ou une partie du système d'information (SI) d'un client, dans le cadre d'un contrat pluriannuel, à base forfaitaire, avec un niveau de services et une durée définie (définition de l'AFNOR). En d'autres termes, c'est l'externalisation de tout ou partie de la gestion et de l'exploitation du SI à un prestataire informatique tiers (SSII nouvellement appelé ESN). Cette prestation doit s'effectuer dans la durée et non de manière ponctuelle.
L'externalisation[3] informatique est la démarche qui conduit à l'infogérance. Son objectif est donc, historiquement, de réduire les coûts. Cependant les entreprises l'utilisent de plus en plus comme vecteur de transformation de leur système d'information et de leurs processus afin d'améliorer leurs performances, ainsi que pour pouvoir se recentrer sur leur métier de base.
Actuellement, ce terme correspond aussi bien à la maintenance du parc, qu'à la gestion de projets, à la sécurité informatique et même aux formations.
Depuis les années 1980, une forme d'externalisation a été développée en réponse aux besoins et à l'évolution des systèmes d'information appelée l'infogérance. Les entreprises qui utilisent l'infogérance sont les grandes entreprises industrielles, les entreprises du monde de la finance, les administrations… Le développement des systèmes d'information[4]et des progiciels de gestion intégrés (PGI ou ERP) datant des années 1980 ont obligé les entreprises à s'adapter à ces changements.
L'infogérance est une réponse adaptée aux besoins lourds et complexes du déploiement des PGI, en garantissant des délais et des niveaux de service dans un contexte où les compétences dans ces domaines étaient rares et coûteuses.
À l'origine, peu de petites ou moyennes entreprises entraient dans ce cadre et les offres des fournisseurs n'étaient pas souvent adaptées à leurs besoins.
Depuis 2000, une nouvelle forme d'infogérance appelée ASP (application service provider) révolutionne l'infogérance « classique », en lui apportant une rapidité et une simplicité d'exécution. Seuls les terminaux utilisateurs restent dans les locaux des entreprises. Ainsi l'ASP minimise (voire supprime) tous les problèmes matériels et permet une prise en main rapide sur les bureaux utilisateurs, en simplifiant le support fonctionnel aux utilisateurs.
Depuis 2008, le développement du cloud computing (nuage) est délivré à travers un service cloud comme le DaaS.
Il existe trois métiers d'infogérance, pouvant être combinés les uns aux autres :
La tierce maintenance applicative (TMA) consiste à confier entièrement ou en partie la maintenance des applications à un prestataire informatique. Elle permet de garder le produit informatique dans un état optimal de fonctionnement en faisant face instantanément à tout type de problème.
Il existe trois niveaux de maintenance.
La première est la maintenance préventive qui concerne les mesures d'entretien exécutées pour éviter les anomalies.
La seconde est la maintenance curative qui vise à corriger le système en place. Le prestataire diagnostique le matériel défectueux et corrige les anomalies ou bugs existants.
Enfin, la dernière est la maintenance évolutive qui permet de faire progresser, de pérenniser et de valoriser le système. Il s'agit, par exemple, de la mise à niveau des logiciels.
L'application service provider (ASP), aussi appelée fournisseur de services d'applications, est une entreprise qui fournit des logiciels ou des services informatiques à ses clients au travers d'un réseau. Elle consiste à externaliser l'hébergement d'une application ou d'un service en ligne à travers un réseau de type Internet ou réseau privé. La sécurité des données est assurée par le fournisseur et c'est la société tierce qui est propriétaire de l'application.
Ce modèle apporte un gain de productivité, une maîtrise des coûts, plus de flexibilité et une meilleure communication (entre sites ou pour les utilisateurs nomades).
La business process outsourcing (BPO), aussi appelé externalisation des processus métier, consiste à externaliser un ou plusieurs processus métier. Les fonctions les plus externalisées sont les achats, la comptabilité, la gestion de la relation client, la gestion des ressources humaines et le back office dans le domaine bancaire.
Dans tous les cas, la question se pose entre la location et l'achat de matériel.
La prestation fait l'objet d'un contrat entre le prestataire (l'infogérant) et l'entreprise (le client). Il s'agit d'un contrat SLA (service level agreement) définissant la qualité de service (en anglais quality of service, ou QoS) auquel le prestataire doit se plier pour son client. Ce contrat est complexe à mettre en place car il détient des clauses de base et des clauses spécifiques au contrat d'infogérance[5].
Comme dans tout contrat qui se forme entre deux parties, certaines informations sont nécessaires. Nous allons notamment retrouver l’identification du client et du prestataire, les conditions de durée, de renouvellement et de résiliation du contrat, les assurances, les éventuelles cessions des éléments du contrat, les modalités de paiement et de révision des prix et enfin, les clauses de responsabilité.
Un contrat d’infogérance doit prévoir des clauses spécifiques liées à la prestation d’infogérance. Il peut être inclus dans le contrat, en fonction des besoins du client et de son budget le maintien en condition opérationnelles du système informatique, des réseaux et des télécommunications, l'amélioration de la performance de ce système ou encore l'assistance aux utilisateurs, à l'administrateur et au dirigeant.
Pour chaque clause, il est indispensable de vérifier certains des éléments.
Premièrement, nous devons retrouver le périmètre. Il s’agit de définir d'abord un périmètre de la prestation afin de savoir ce qui est inclus ou non dans le contrat. C’est le champ d’application du contrat, on y détaille tous les équipements concernés par la maintenance, l’assistance et les outils logiciels ou services installés. Le périmètre est défini en fonction des besoins réels du client. Par exemple, les ordinateurs, les tablettes et smartphones, les serveurs, la solution de sauvegarde des données, les routeurs, le réseau interne du client, les équipements d'impression, les télécommunications ou encore la sécurité.
Les interventions doivent être explicitées. Le prestataire s’engage au maintien en condition opérationnelle du système d’information. On s'intéresse à la manière dont la prestation va s'effectuer. Néanmoins, les interventions répondent à plusieurs problématiques : les opérations couvertes, les délais d'interventions, le nombre de personnes chargées de cette prestation, les jours et horaires d'intervention, le contact intervenant, le numéro de téléphone ou l'adresse de courriel à utiliser pour programmer cette intervention ou encore si l’intervention fait l’objet d’une tarification supplémentaire.
Il est aussi nécessaire de retrouver l’assistance téléphonique. Les horaires et jours de disponibilité et d’intervention à distance doivent être définis selon le contrat d’infogérance et les besoins du client. La clause doit mentionner si la hotline est prévue de façon illimitée, ou si elle fait l’objet d’une tarification spécifique : joignable par achat de tickets ou encore pour une durée cumulée maximum. De plus, l’assistance téléphonique permet de réaliser certaines opérations de maintenance informatique.
On peut également mentionner le devoir de veille technologique. Le prestataire qui exécute le contrat d’infogérance doit assurer un rôle de conseil, et donc être capable de proposer à tout moment les solutions les mieux adaptées aux usages et en adéquation avec les contraintes budgétaires du client.
Nous devons retrouver la confidentialité. Tous les collaborateurs du prestataire doivent respecter le secret professionnel des clients chez lesquels ils interviennent, à distance ou sur site. Une clause de confidentialité doit donc être prévue au contrat pour garantir le client contre toute manipulation frauduleuse ou vol de ses données. En effet, il s’agit d’un contrat par lequel on autorise une entreprise tierce à manipuler le parc informatique et pénétrer dans les systèmes et les données de l'entreprise.
Le contrat doit aussi mentionner la propriété des logiciels. Si des prestations intellectuelles doivent être réalisées, elles doivent être précisément mentionnées dans le contrat ou son avenant. Le contrat doit stipuler clairement les droits d’utilisation de toute production logicielle résultant de l’exécution du contrat d’infogérance : le logiciel peut devenir la propriété du client, être « loué » au client pour un temps défini, ou prévoir une possibilité de réutilisation par le prestataire pour ses productions futures.
La réversibilité doit être prévue. Le contrat doit toujours prévoir une clause de réversibilité et ses modalités d’applications. En effet, le client peut décider de changer de prestataire ou ré-internaliser la gestion de son informatique. La réversibilité du contrat doit garantir une parfaite restitution des informations.
Pour finir, le dernier élément concerne les matériels. On détaille le matériel pris en considération dans le contrat mais également si chaque réparation ou remplacement de matériel est inclus dans le prix de la prestation. Dans ce cas, le contrat détermine comment sera fixé le prix et dans quels cas le matériel informatique sera remplacé ou réparé.
La phase préalable au contrat d’infogérance repose sur deux études principales : l’étude d’opportunité et l’étude de faisabilité. La première consiste à évaluer l’opportunité de réalisation de l'opération. Cette étude se fait par rapport aux orientations stratégiques de l'entreprise et aux besoins des utilisateurs du SI. La deuxième étude est celle de la faisabilité par l’entreprise. Elle confronte les ressources et les coûts de l’entreprise, évalue le risque afférent à une telle décision ainsi que les contraintes de mise en place.
Compte tenu de ces études, l’entreprise juge de la pertinence de poursuite de ce projet. Dans le cas où la phase préalable engage la direction vers une acceptation du projet, l’entreprise passe à la deuxième étape qui la mènera vers le choix du prestataire le mieux qualifié et qui répond aux exigences du contrat. La deuxième étape est donc celle où l’organisation rédige un cahier des charges en fonction des ressources qu’elle souhaite allouer au projet et lance un appel d’offres avec une liste préétablie et restreinte d’infogérants susceptibles d’être choisis (notion de short list).
Une fois le prestataire choisi, l’entreprise entame la troisième étape qui la mènera vers la conclusion du contrat. Cette étape est celle où l’entreprise procède à différents audits pour mettre en place « un protocole d’accord » qui servira de base pour la définition des termes du contrat. Un premier audit technique permet au prestataire d'obtenir une description technique complète du système et de ses performances, et d'apprécier les moyens qui devront être mis en œuvre dans le cadre des opérations d'externalisation. Un deuxième audit juridique clarifie les droits de propriété intellectuelle (licences d'exploitation) dont le prestataire dispose sur les différents éléments du système.
Une fois le contrat conclu, l’entreprise passe aux trois phases de réalisation de ce dernier. La première phase est celle de l’intégration, à savoir la préparation du transfert de responsabilité entre le client et le prestataire. D’une part, le prestataire récupère la connaissance du SI, effectue un transfert de propriété, de droit d'usage et du personnel, ainsi qu'un transfert physique ou géographique. D’autre part, le client s'assure que la reprise des connaissances est suffisante et que la maîtrise de l'ensemble confié au prestataire est assurée.
La deuxième phase est celle de mise à niveau. Elle permet de parvenir à un niveau de service supérieur si la qualité de service du contrat est insuffisante. L'écart entre l'état des lieux du SI et le niveau d'exigence qualité du contrat peut ainsi conduire à une mise à niveau.
La dernière phase opérationnelle concerne les prestations définies dans le contrat, entrecoupées de périodes d'évolution ou d'optimisation.
À son échéance, le contrat peut être reconduit, être renégocié ou prendre fin. Le cycle peut également s'interrompre en cas de résiliation anticipée à l'initiative du client ou à celle du prestataire. À la fin du contrat, il convient de respecter les modalités de fin de prestation d'infogérance et plus particulièrement celles qui concernent la réversibilité.
Nombreux sont les avantages que possèdent les organisations lorsqu’elles font de l’infogérance. Tout d’abord elle permet la réduction des coûts informatiques ; des économies de 10 % à 15 % sur le budget informatique sont généralement constatées grâce à des effets d'échelles et de mutualisations des moyens.
Ensuite, elle permet aux organisations de se recentrer sur leur « cœur de métier » en développant de nouvelles activités et/ou en rationalisant les activités existantes. Ainsi que d’optimiser la gestion du système d'information[6] grâce aux compétences des prestataires, ce qui entraîne un gain de temps, d'argent et une plus grande flexibilité.
Enfin, elle donne une flexibilité face à des évolutions importantes et rapides de l'activité de l'entreprise : changement d'organisation, périmètre d'activité, restructuration. Et une meilleure maîtrise de l'évolution technologique, de la qualité, et de la productivité du système d'information à moindre frais. De même l’interlocuteur unique (prestataire) qui a des obligations de moyens et de résultats, c'est un gage de qualité. Il a une vision extérieure et peut donc aider l'entreprise cliente lors d'une réflexion sur l'évolution du système d'information.
L’infogérance implique une connaissance et une maitrise des risques qui y sont liés[7]. L'Agence nationale de la sécurité des systèmes d'information (ANSSI) en a identifié trois principaux[8].
La perte de maitrise du système d’information est un risque à prendre en compte quand on travaille en infogérance. Cette menace peut être lié à la sous-traitance, la localisation des données ou au choix technique des prestataires.
Pour diminuer le risque lié à la sous-traitance, les donneurs d'ordres doivent vérifier que le prestataire a réellement des capacités techniques et financières nécessaires à la bonne exécution des prestations mais aussi que la sous-traitance ne rendra pas inefficace les contraintes de sécurité exigées par le secteur d'activité. En cas de manquement à ces deux obligations, le donneur d'ordres peut se réserver le droit de récuser tout sous-traitant qui ne présente pas les garanties suffisantes pour exécuter les prestations conformément aux exigences de sécurité.
En ce qui concerne la localisation des données, il faut s’assurer que l'ensemble des lieux d'hébergement (site principal, sites de secours, sites de sauvegarde…) répondent d'une part aux exigences de sécurité du donneur d'ordres, et d'autre part aux obligations légales et réglementaires. De manière générale, le risque de divulgation d'informations sensibles dans une opération d'infogérance doit être systématiquement évalué.
De plus, une localisation de données non maîtrisée peut entraîner une difficulté à exercer un droit de regard et de contrôle sur le personnel du prestataire, une difficulté à effectuer un audit de sécurité de l'infrastructure sous-jacente ou encore une difficulté à répondre à d'éventuelles injonctions de la justice, pour des raisons fiscales ou autres raisons (par exemple d'ordre juridique).
Enfin, si pour des raisons économiques, le prestataire se retrouve dans l'incapacité de satisfaire le contrat d'infogérance, le donneur d'ordres doit être en mesure de récupérer les données afin d'avoir la possibilité de les confier à un autre tiers de son choix. Cette restitution doit être mentionnée dans le contrat.
Il existe plusieurs types d’interventions à distance comme le télédiagnostic (par la supervision d'équipements réseau et sécurité, diagnostic d'anomalies sur une application…), la télémaintenance (par la réalisation, après le diagnostic, des opérations à distance sur le dispositif) ou encore la télédistribution (par une mise à jour d'une application à distance). Ces interventions à distance permettent une réduction significative des coûts et des délais d'intervention mais présentent de nombreux risques.
Elles peuvent être responsables par exemple : de l'intrusion dans le système d'information par une personne non autorisée, de l'indisponibilité du système d'information qui va avoir un impact sur la confidentialité ou l'intégrité des données mais peuvent aussi entraîner l'abus de droits d'un technicien qui lors d'une intervention peut accéder à des données confidentielles ou modifier des données sur le système d'information.
Pour éviter les risques liés à la télémaintenance, le donneur d'ordre doit mettre en place une passerelle informatique sécurisée qui va permettre d’authentifier la machine distante et la personne chargée du support, de prévenir l'exploitation de vulnérabilité (par exemple les systèmes d'exploitation des dispositifs non tenus à jour ou encore l'absence de traçabilité des actions…) sur le dispositif de télémaintenance, de garantir la confidentialité et l'intégrité des données sur le système d'information, d’assurer une traçabilité des actions effectuées par le technicien et de garantir l'absence de fuite d'informations vers l'extérieur.
Parallèlement, la mise en place d'un audit régulier va permettre de confirmer si, les mesures de sécurité sont effectives et en adéquation avec les objectifs de sécurité.
L'hébergement mutualisé consiste à héberger plusieurs services sur un seul et même serveur, afin de rationaliser les ressources. Plusieurs risques liés à ce choix existent. Le premier est la perte de disponibilité car lors d'une attaque externe ou interne, puisque les services sont hébergés sur le même serveur, l'ensemble des équipements peuvent être indirectement victimes de l'attaque. Le second est la perte de confidentialité puisque le partage des services dans un même environnement physique peut conduire à des croisements d'information (contenu des fichiers clients de plusieurs sites dans la même base de données, ou le même sous répertoire, etc.). Le troisième risque est la perte d'intégrité, lorsque l'un des services hébergés subit une attaque, un changement de logiciel (voulu ou non) cela peut avoir une répercussion indirecte sur un service hébergé (non compatibilité, erreurs, etc.).
Pour lutter contre ces risques, le contrat d'infogérance doit prévoir une récupération rapide de toutes les données. Les journaux d'événements, le suivi du service hébergé (les mises à jour, les maintenances, les sauvegardes…), les modalités de prévention d'une attaque et la réaction à la suite de l'incident doivent être impérativement détaillés.
Cependant d’autres risques liés à l'infogérance peuvent survenir comme des risques financiers car une sous-estimation des volumes d'information à traiter par le prestataire peut entraîner une facture surdimensionnée. Également des risques sociaux lorsqu'il y a un développement trop rapide de l'infogérance cela peut être mal perçu par les salariés. Ils vont alors craindre de perdre leur emploi et peuvent développer une forme de résistance au changement. Ou bien des risques juridiques avec la responsabilité du client qui peut être mise en cause lorsque le prestataire ne respecte pas la législation. Le contrat doit prévoir, afin de protéger le donneur d'ordres soit une limitation de la mise en cause du donneur d'ordres, soit des moyens de contrôle dont disposera le donneur d'ordres. Dans tous les cas, le donneur d'ordres doit conserver ses recours juridiques contre le sous-traitant. Enfin il peut y avoir des risques liés à la diffusion de l'information car les conséquences resteront toujours supportées par le client qui devra assumer seule. S'il peut démontrer une faute commise par le prestataire, le client pourra alors demander une indemnisation du préjudice subi.
D'après une étude réalisée par les Échos, l'infogérance se développe grâce aux services de cloud computing.
Ce marché est monopolisé par les géants historiques de l'infogérance (SSII, équipementiers informatiques) d'envergure mondiale et par les pionniers mondiaux du cloud computing (Google, Amazon). Toutefois, le marché compte également de nombreuses SSII de taille moyenne qui se focalisent davantage sur des marchés de spécialités (externalisation de fonctions par exemple) ou distribuent des solutions développées par les informaticiens (IBM, Bull…) et les éditeurs de logiciel (Microsoft, Oracle…).
Ces acteurs proposent des services innovants (CRM, gestion de la paie et sécurité des données) qui attisent les convoitises des leaders. Depuis 2011, les leaders ont tendance à racheter ces sociétés innovantes.
En 2014, la valeur totale des contrats d'externalisation des systèmes d'information a progressé de 7 % pour atteindre 9,5 milliards d'euros. Malgré une baisse de 1 % du nombre de contrats signés sur l'année (588 en 2014, contre 595 en 2013), le marché reste attractif grâce à une hausse des « mégas contrats ». Les pays européens tels que l'Allemagne, le Royaume-Uni et la France ont largement contribué au dynamisme du secteur.
En France, la valeur annuelle des contrats d'externalisation signés en 2014 a augmenté de 125 % par rapport à 2013. Le nombre total de contrats a progressé de 75 % en un an. Cette croissance peut s'expliquer par la multiplication des opérations de consolidation, la hausse de 25 % du nombre de méga contrats d'une valeur annuelle de 80 millions d'euros ainsi que l'engouement pour l'infogérance cloud.
Cependant, certaines limites liées à la souveraineté des données, la sécurité et la maturité des offres de ce marché persistent. Pour répondre à ces interrogations, les pouvoirs publics français ont lancé en 2012, un « cloud national » dont l'impact reste encore à démontrer.
L'infogérance applicative répond aux besoins des PME. Étant limitée par les délais et la disponibilité de leurs ressources, elles cherchent néanmoins à répondre à un ou plusieurs objectifs notamment le déploiement rapide d'un nouvel applicatif, le respect des normes ISO/CEI 27001, ISO 9001 et ISAE 3402, ainsi que la disposition d'un engagement de qualité de service.
L'infogérance applicative est une prestation d'hébergement à valeur ajoutée puisqu'elle est créatrice d'un applicatif métier par un prestataire.
Liens généraux :
Liens relatifs aux métiers de l'infogérance :
Liens relatifs au contrat d'infogérance :
Liens relatifs aux phases du projet :
Liens relatifs aux avantages de l'infogérance :
Liens relatifs aux risques de l'infogérance :