Définir et piloter une politique d’infogérance
L’infogérance, problématique des SI modernes
La pratique de l’infogérance s’est développée à dater des années 1990, à la faveur des évolutions technologiques qui ont ouvert de nouvelles possibilités de déporter les ressources hors de l’organisation afin d’en mutualiser soit l’infrastructure soit l’exploitation. La montée des contraintes économiques a conforté cette tendance, en offrant aux entreprises et aux administrations des solutions optimisées du fait de la spécialisation et de l’industrialisation des prestations externalisées.
L’infogérance se distingue de la simple prestation de service en ce qu’elle déporte (ou ambitionne de déporter) le centre de gravité des ressources et confie à un prestataire externe un mix de moyens, d’expertise et d’opérationnalité qui le place en posture de quasi-manager de pans entiers du SI. Cette délégation de responsabilité doit être soigneusement encadrée et se traduit par des engagements de service globaux et forfaitisés.
En évolution rapide, le marché de l’infogérance se structure et se concentre pour offrir, depuis les années 2010, des prestations d’infogérance globale (c’est-à-dire conjuguant infrastructures, exploitations et projets) et en convergence (informatique, réseau, communication et éditique en un même mix de service). Dès lors, c’est la totalité du SI d’une organisation qu’il est désormais possible d’externaliser, avec comme corollaire de la performance, l’enjeu nouveau de la dépendance. Dépendance qui se traduit par des risques tels que la perte de contrôle sur le stockage et la préservation des données ; la translation des priorités stratégiques du client vers celles du fournisseur ou, en bout de piste, la quasi-impossibilité de quitter un prestataire si une politique de réversibilité n’est pas solidement mise en œuvre. Regardée ainsi, l’infogérance...
Les avantages et les inconvénients du choix de l’infogérance
L’analyse avantages/inconvénients préside au choix d’une stratégie d’infogérance. Cette analyse est nécessairement multicritère et embarque, pour l’essentiel, une lecture spécifique des forces et faiblesses de l’organisation concernée. Nous reprenons ci-après, à titre d’illustration, la grille d’analyse avantages/inconvénients du choix de l’infogérance telle qu’intégrée au SDSI de notre cliente, la Société nationale des attaches et trombones (Sonate) :
BÉNÉFICES À CIBLER |
MENACES À CONTRER |
|
LISIBILITÉ GOUVERNANCE ORGANISATION |
L’infogérance crée de fait une lisibilité des territoires de responsabilités qu’elle délègue à un prestataire. La référence obligatoire au contrat contraint à un retour permanent à la règle. La collaboration de deux entités oblige à une gouvernance active. L’infogérance est vertueuse car elle n’autorise pas les postures molles. |
Éviter toute situation tendant à dégrader la responsabilisation des acteurs : confusion, chevauchements, pilotage polycéphale… Par ailleurs, l’infogérance, pour être maîtrisée, exige une grande solidité des équipes de maîtrise d’ouvrage. |
GESTION DE LA QUALITÉ, ENGAGEMENTS DE SERVICE, DYNAMIQUE VERTUEUSE, AMÉLIORATION CONTINUE |
Bien conçu, un contrat d’infogérance place le prestataire dans une dynamique vertueuse, dans laquelle plus il améliore le service et plus il améliore son propre résultat.... |
Définir le périmètre d’une politique d’infogérance
Première phase du cycle de vie d’un projet d’infogérance, l’analyse du périmètre doit permettre d’évaluer les opportunités d’externalisation, d’en appréhender les conséquences en matière d’organisation et donc de ressources humaines, d’en estimer l’impact financier, d’en évaluer les bénéfices attendus ainsi que les risques. Les informations nécessaires à la conduite de cette analyse peuvent être organisées en utilisant la 2MSI. L’analyse se fera alors cellule par cellule en caractérisant des critères tels que : opportunités, organisation, conséquences financières, bénéfices, risques.
Matrice d’analyse stratégique de l’infogérance
Une fois l’analyse stratégique réalisée, il est possible de cartographier le périmètre de la politique d’infogérance. C’est-à-dire de déterminer, pour chacune des cellules de la matrice, si elle est concernée par l’externalisation envisagée :
Cartographie de l’infogérance
Infrastructures réseau et télécom |
Supervision et exploitation réseau - gestion opérateurs réseau... |
L’infogérance à la carte ou par grands domaines : quel modèle choisir ?
Dans la section précédente, nous effectuons une analyse au cas par cas de chacune des cases de la matrice 2MSI. Mais ce modèle est-il satisfaisant ? Pouvons-nous en imaginer d’autres ? Quels en sont les avantages et inconvénients ? Nous pouvons postuler qu’il existe très peu de situations dans lesquelles le périmètre d’une infogérance collerait exactement au découpage des cases de la 2MSI. Nous explorons ci-après quelques modèles plus opérationnels :
Infogérance à la carte
Dans ce modèle, le périmètre d’un contrat d’infogérance (ici défini par un certain niveau de gris) peut ne pas concerner toute une case de la matrice, en chevaucher les limites, et s’étendre à plusieurs couches du SI.
Cette solution, la plus souple, a l’avantage de développer une politique d’infogérance au plus près de l’analyse des forces et faiblesses du SI. En revanche, elle présente l’inconvénient majeur d’un manque de lisibilité et elle multiplie les problématiques de définition des périmètres de responsabilité et d’intervention des différents acteurs (voir ci-après les tableaux...
Formaliser contractuellement le périmètre de la prestation d’un infogérant
Nous reprenons, ci-après, à titre d’illustration, la définition contractuelle de l’infogérance du centre de services des environnements de travail utilisateurs de notre exemple, la Société nationale des attaches et trombones. Dans le cas présent, cette définition est adossée à un découpage selon les grands processus ITIL.
Pour chaque processus, sont indiqués :
-
Le niveau de responsabilité, méthode RACI (responsable, acteur, contributeur, informé).
-
Le périmètre SI auquel s’applique la responsabilité définie.
-
Les modalités de mise en œuvre de la responsabilité définie.
Tableaux de définition des niveaux de responsabilité de l’infogérant du Centre de services poste de travail de la Société nationale des attaches et trombones (SONATE)
CONCEPTION DES SERVICES |
|||
PROCESSUS ITIL |
NIVEAU DE RESPONSABILITÉ DE L’INFOGÉRANT |
PÉRIMÈTRE |
MODALITÉS |
Conception du catalogue de services |
Contributeur |
Tout le SI |
Participation au management du SI. Le titulaire est garant de la cohérence et de l’évolution du catalogue de services (ajout, modification ou suppression de services existants). Il est garant de la complétude de l’information afférente à chaque ligne de service, qui doit lui permettre de le mettre en œuvre ou de suivre son exécution. |
Gestion des niveaux de service |
Contributeur |
Tout le SI |
Référentiel défini en période de transférabilité. Le titulaire est garant de la cohérence entre les SLA positionnés et les OLA des différents acteurs du SI. Il est tour de contrôle et a mission de faire respecter les OLA/SLA, et d’alerter la DSI en cas de manquements. |
Gestion des fournisseurs |
N/A |
||
Gestion de la disponibilité |
Contributeur |
Environnement de travail utilisateurs |
Référentiel défini en période de transférabilité. |
Gestion de la continuité |
Contributeur |
Environnement de travail utilisateurs |
Référentiel défini en période de transférabilité. |
Gestion de la capacité |
Contributeur |
Environnement... |
Gérer les infogérances en cascade
L’intervention conjointe de plusieurs infogérants nécessite, certes, de délimiter les périmètres de prestation de chacun. Cependant, cette pratique place le maître d’ouvrage dans une posture contraignante qui l’oblige à faire le lien entre les infogérants (retranchés chacun dans leur périmètre) afin de garantir la nécessaire coordination transversale sans laquelle le SI ne saurait fonctionner. Une autre pratique consiste alors à organiser contractuellement une coordination qui s’établit directement entre les infogérants, sans le média du maître d’ouvrage.
Nous reprenons ci-après, à titre d’exemple, les trois niveaux de coordination de « services tiers » prévus par le contrat d’infogérance du centre de services des environnements de travail utilisateurs de la Sonate :
-
Service tiers relayé.
-
Service tiers supervisé.
-
Délégation de prestations.
Les situations évoquées s’appliquent à l’ouverture et au traitement d’un ticket relatif à un incident sur un poste de travail.
Gestion des services tiers/cahier des charges infogérance du centre de services de la Sonate
Services tiers relayés. Dans le cas de services tiers relayés, l’intervention...
Définir les unités d’œuvre d’un contrat d’infogérance
Les unités d’œuvre qui fondent la relation économique entre maître d’ouvrage et infogérant ont une part importante dans l’équilibre de la relation contractuelle. Pour cela, elles doivent refléter sincèrement la mobilisation des moyens de l’infogérant en rapport avec le niveau de service attendu par le client et la sécurité avec laquelle ce service doit être rendu. Elles doivent aussi s’inscrire dans une logique de cercle vertueux qui permette une amélioration continue des processus, le maintien de la qualité du service rendu, et également la non-dégradation de tout ce qui fonde le système d’information, y compris la gestion de la connaissance ou encore la gestion du risque.
Ces unités d’œuvre doivent avoir également d’autres vertus pour en faciliter l’administration, voire le contrôle. En ce sens, un catalogue pléthorique d’unités d’œuvre à l’acte ne serait pas facilement administrable et contrôlable.
Les unités d’œuvre choisies doivent laisser à l’infogérant toutes ses marges de manœuvre dans sa propre organisation. Si un client fait appel à de l’out-sourcing, c’est bien parce qu’il ne sait pas ou ne veut pas faire. La réponse de l’infogérant, ses savoirs et savoir-faire seront alors au service de l’objectif de performance et de sécurité du client. Il est donc très important que les unités d’œuvre ne conditionnent pas une relation de donneur d’ordre à exécutant, mais incarnent plutôt une relation partenariale de type gagnant/gagnant. Par exemple, faire en sorte que l’infogérant ait tout intérêt à prévenir les incidents, de sorte à en diminuer...
La protection du patrimoine informationnel
Le Cigref (Club informatique des grandes entreprises françaises) définit le patrimoine informationnel comme « l’ensemble des données et des connaissances, protégées ou non, valorisables ou historiques d’une personne physique ou morale ». C’est donc un patrimoine immatériel dont l’essentiel, et de plus en plus l’intégralité, est porté par le système d’information, qu’il s’agisse des données ou des processus.
Ce patrimoine est souvent indispensable au bon fonctionnement de l’organisation qui en est propriétaire. Aussi son propriétaire doit s’assurer que ce patrimoine reste disponible à tout utilisateur qui en a besoin pour son activité et qui est autorisé à y accéder, qu’elle soit conservée de façon intègre dans le temps, que son imputabilité soit garantie et donc son origine tracée. Il doit donc en assurer la protection, en garantissant sa disponibilité et sa confidentialité, son authenticité et son intégrité, sa traçabilité et sa pérennité.
Quel que soit le modèle d’infogérance, le titulaire d’un tel contrat aura toujours en charge au moins une part de ce patrimoine informationnel, ou au minimum...
Le monitoring de la réversibilité avec la matrice 2MSI
Chaque marché d’infogérance fait l’objet d’un plan de réversibilité. Un tel plan est défini dans une version initiale au moment de l’offre d’infogérance et porte à la fois sur la réversibilité entrante et sortante.
La réversibilité entrante, ou « transfert de service » en référentiel eSCM-CL, comporte au minimum :
-
Un plan de transition du service, pour planifier et suivre les activités de définition et de déploiement du service infogéré (planning détaillé avec liste des livrables, jalons, ressources, charges et délais pour chaque activité).
-
Un plan de vérification de la conception du service, pour permettre de valider le modèle de conception du service avant déploiement, ainsi que de garantir la bonne fourniture du service et le respect des SLA (test de prise en charge d’un pilote avec organisation, processus, outils, connaissances).
-
La description des opérations de transfert des ressources, pour assurer la prise en charge du matériel, des logiciels, des environnements, sur la base de leurs inventaires.
-
La description du transfert éventuel de personnel (si prévu au marché).
-
La définition des modalités de transfert des connaissances...