GLQE 2016 – CTG – Minimiser ses risques via l’externalisation de l’IT

Minimiser ses risques via l’externalisation de l’IT

ctg_logo_wtag_v

Olivier Saucin, Directeur Europe ITSM

Didier Blaise, Directeur Europe AS

Olivier Destenay, Business Line Manager Test

La gestion des risques au service de la stratégie

image001Avoir une  stratégie claire et solide est bien entendu capital pour atteindre les objectifs de croissance et de qualité attendus pour une entreprise.

Afin de renforcer au maximum ces actions et de garantir que ces objectifs seront atteints, il est indispensable de mettre au point une gestion des risques adaptée pour avancer efficacement et sereinement dans son secteur.

Cette gestion des risques est donc essentielle, et notamment depuis ces dernières années lorsque l’on parle du domaine de l’IT, on remarque que ce point d’attention est central, primordial et en plein développement.

Les conséquences des risques liés à l’IT

Les conséquences potentielles des risques liés à l’IT sont identiques à celles des risques classiques au niveau du métier, comme les exemples ci-dessous le démontrent:

  • Un service en ligne inaccessible dégrade l’image de l’entreprise au même titre que la fermeture inopinée d’une enseigne physique;image003
  • Des retards dans la livraison d’un projet IT peuvent également entrainer une dégradation de l’image ou de la compétitivité, similaire à la mise sur le marché d’un produit peu abouti;
  • Une divulgation de données entrainerait des conséquences légales, financières et de réputation au moins aussi dommageables que celles qu’auraient engendré une divulgation de données « papier ».

On le voit clairement, ce n’est pas au niveau des conséquences que les risques IT diffèrent des risques classiques.

La gestion des risques liés à l’IT

Si les conséquences des risques classiques et des risques liés à l’IT sont similaires, il est important de réaliser que leur gestion et surtout leur réduction requièrent image005des méthodes spécifiques. La gestion des risques IT est bel et bien un domaine à part entière, divergeant de la gestion des risques métier dont elle se doit d’être le support.

Lors de l’outsourcing de son IT, une entreprise transfère de facto une partie des contraintes qui y sont liées. Pour une société de service, la gestion des risques spécifiques fait partie des procédures standard, l’IT étant dans ce cas le « core business ».

Au travers de la collaboration avec la société de service spécialisée en IT, le client et l’utilisateur final bénéficieront donc d’une masse critique plus importante en spécialistes et outillage, leur donnant accès à des technologies, des bonnes pratiques et des connaissances spécifiques parfois difficiles à obtenir ou à maintenir au sein d’un département informatique « interne » plus classique. Ceci couvre notamment:

  • La conservation et le partage de la connaissance
    La quantité de personnel spécialisé et la composition d’équipes centralisées en charge de plusieurs projets permettent de minimiser la perte de connaissances lors d’absences ou de départs. De plus, les possibilités d’évolution, les projets multiples et l’environnement technique évolutif forment un environnement favorisant l’acquisition de nouvelles compétences et la rétention de celles-ci;
  • L’accès à des méthodologies de pointe telles que celles de la mouvance « Agile »
    Par nature et par besoin, les sociétés de service se doivent d’adopter et de maitriser rapidement les méthodologies de pointe et les bonnes pratiques. C’est notamment le cas pour les méthodes dites « Agiles ». L’agilité se repose sur des valeurs et des pratiques qui permettent d’atteindre un haut niveau de réactivité lors du changement de besoins fonctionnels ou de mise en conformité règlementaires ou techniques. Adopter une gestion de projet qui autorise de tels changements, car considérés comme « naturels » dans la gestion elle-même, diminue drastiquement les risques d’échec ou de non-conformité. Répondre au besoin réel, qui est celui qui existe à un « instant t », permet donc d’optimiser au final le « time to market » en passant beaucoup plus facilement au travers des phases de validation et d’audit. Enfin, la frustration que les utilisateurs pourraient avoir face au changement est effacée au maximum via des adaptations rapides pour répondre aux vraies attentes de ces derniers.
  • La diminution des coûts liés aux contraintes
    La centralisation des ressources et des services amène de facto une mutualisation des coûts et une diminution des principaux risques. C’est particulièrement clair pour les services IT nécessitant un support (de production ou aux utilisateurs) 24/7/365. La taille des équipes concernées doit être suffisante pour assurer le support sans risque d’interruption, et ce même en cas d’absences imprévues, le tout en limitant au minimum les coûts puisque les diverses optimisations seront partagées.
    Dans le même ordre d’idée, il est parfois vital d’être capable de faire face à une forte variabilité de la charge de travail. Une logique centralisée autorise plus facilement une absorption de pics de charge ou une adaptation pour suivre une baisse de la demande en réassignant les ressources.
  • Les processus industrialisés, sans le coût de l’industrialisation
    Le testing d’applications (et notamment les tests de non régression), les mises en production, le patching des machines… Tous ces processus bénéficient (en termes de risques mais également de coûts) d’une standardisation et d’une industrialisation. Pour y arriver, il faut pouvoir facilement disposer temporairement, mais au bon moment, de compétences pointues, disponibles au sein de sociétés de services spécialisées en IT.
  • L’assurance qualité dans la livraison de nouvelles applications IT
    Le succès d’un projet IT dépend des objectifs de ce projet, mais il est communément admis que le respect du planning, du budget et du périmètre sont les éléments clés à objectiver. Le facteur risque est néanmoins un élément pour lequel il ne faut pas ménager ses efforts. Il doit être couvert en appliquant de vrais processus d’assurance qualité et de gestion de projet qui mettent un accent fort sur le suivi des risques et de leurs plans d’atténuation. Ceci permet de garantir un niveau de qualité et de satisfaction optimal pour le client final et augmente le niveau de succès des projets, en entamant la réflexion dès le démarrage de l’analyse des exigences.
    De nos jours, les logiciels sont omniprésents. Nous les utilisons partout dans notre quotidien, que ce soit lors de l’utilisation de notre carte de banque, de notre téléphone ou de notre voiture. Tout le monde a déjà été confronté à une erreur d’application.  Les conséquences qui en découlent ne véhiculent pas le même facteur de risque.  Le test sera donc exécuté de manière différente suivant le contexte. Une campagne de tests bien menée, ayant très tôt mis à jour les risques potentiels, augmentera la confiance en la stabilité d’un logiciel.
  • La qualité pour l’utilisateur final
    Lorsqu’on parle de l’utilisateur final des services informatiques, la gestion des risques s’entremêle à la gestion de la qualité… L’absence ou la perte de qualité étant un risque majeur à gérer en permanence. Dans ce cadre, il est nécessaire de complémenter le processus de livraison des solutions applicatives par un suivi rapproché du bon comportement des applications mises en production. Ce suivi, communément appelé « Business Monitoring » permet des actions proactives qui éloignent le risque d’une perception de mauvaise qualité pour l’utilisateur de l’application.

Le contrat de service

Pour que le transfert de la gestion des risques liés à l’IT devienne effectif et garanti, le passage par la case ‘contractualisation’ est critique. Le contexte légal a bien entendu son importance mais le Luxembourg n’est pas à la traine dans ce domaine.

Qu’il s’agisse d’un contrat de support, d’un projet de développement, d’une mission de test, d’un processus business ou IT livré « as a service » ou d’un outsourcing image007total de l’informatique, les deux parties devront décrire de manière claire et précise les résultats à atteindre. Selon le type de service et les procédures des parties en présence, on parlera de SLA (Service Level Agreement), de cahier des charges, de spécifications ou encore de critères d’entrée et sortie.

Lors de l’établissement de ces documents contractuels, les deux parties discuteront également des processus de suivi, des aspects financiers (en incluant les éventuels bonus et pénalités) et ce en vue d’éviter par la suite d’autres risques tels que le conflit contractuel ou la dilution de responsabilité.

Spécifique à l’outsourcing: la clause de réversibilité du contrat d’outsourcing

Une clause de réversibilité dans le contrat d’outsourcing permet au client sous certaines conditions de récupérer les services confiés au prestataire, en cas de défaillance de celui-ci, de failles graves dans l’exécution du contrat ou tout simplement à la fin de celui-ci. Il est également indispensable de régler ce point dès la signature du contrat, pour éviter que le client ne se retrouve en difficulté. Cette possibilité doit être ménagée quelles que soient les raisons pour lesquelles le contrat a pris fin.

Le prestataire doit s’engager à rendre cette réversibilité techniquement réalisable, en mettant en œuvre des solutions matérielles ou logicielles suffisamment standardisées, moins susceptibles de compromettre la réversibilité. De plus, les modalités pratiques, mais aussi le coût de mise en œuvre de cette réversibilité doivent être contractualisés avec précision afin d’éviter les surprises en fin de contrat. Outre le transfert des données et du matériel, il conviendra de garantir la formation du personnel qui reprendra le service.

Dans ces conditions, les parties auront une vue claire et détaillée de leurs rôles et responsabilités et pourront toutes deux tirer pleinement le bénéfice attendu de la relation contractuelle.

Pour conclure

Le recours à l’outsourcing de l’IT ou de l’un de ses composants permet aux entreprises de mieux gérer leurs risques IT en accédant à la masse critique, aux technologies et à l’expertise de sociétés spécialisées. C’est au travers un contrat de service personnalisé, complet, précis et réversible qu’il convient de s’assurer que le recours au fournisseur diminue l’exposition aux risques tout en permettant un contrôle renforcé sur les opérations.