L’externalisation ou l’outsourcing, consiste pour une organisation à confier à des partenaires extérieurs, la réalisation de tout ou partie des activités qu’elle réalisait préalablement en interne. Quand il s’agit d’activités liées aux systèmes d’information, cette pratique porte des noms comme infogérance, Tierce Maintenance Applicative ou cloud computing (informatique en nuage). Il s’agit de démarches pratiques largement tolérées, voire même souvent inscrites dans les stratégies de développement des entreprises privées et de certains organismes publics et Infrastructures d’Importance Vitale.
L’infogérance peut être globale et concerner l’intégralité des composantes du système d’information ou partielle et se limiter à certaines activités comme le développement, l’exploitation ou la maintenance d’applications, ou encore l’hébergement, la fourniture de matériel et logiciels ou la supervision du système d’information.
Le Cloud Computing peut être considéré comme une extension naturelle de l'offre d'infogérance. Il est associé à la virtualisation et aux solutions IaaS (Infrastructure as a Service), PaaS (Platform as a Service) et SaaS (Software as a Service). On peut différencier quatre types d’implémentation partant du cloud privé au cloud public en passant par les cloud hybride et communautaire. Chacune de ces implémentations désigne un degré plus ou moins élevé en termes d’externalisation et de dépendance vis-à-vis du prestataire.
Le recours à l’externalisation est généralement entrepris dans l’objectif de :
Les économies d’échelle réalisées grâce aux sociétés d’infogérance permettent aux organisations de tirer profit de la mutualisation des moyens et ainsi de baisser leurs coûts informatiques.
A travers un contrat d’infogérance adapté à ses besoins, une organisation pourra dépenser ce qu’elle consomme réellement et donc pourra éviter les dépenses imprévues et mieux planifier son budget. De ce fait les coûts fixes liés à l’informatique sont évités et ne restent que les coûts variables. De plus les risques inhérents au surinvestissement et sous-investissement sont transférés vers le prestataire.
Dans un environnement hyper connecté, les organisations sont constamment à la recherche de performance et d’optimisation. Le rythme toujours plus élevé des échanges et des mutations économiques impose des structures plus spécialisées et très réactives. Dans ce cadre, les fonctions qui demandent des qualifications particulières qui sortent du cœur du métier de l’organisation ou qui sont moins stratégiques, sont confiés à des prestataires externes. A ce titre l’infogérance permet d’une part, de profiter de compétences et de spécialistes dans les métiers des technologies de l’information aptes à mettre en œuvre et maintenir des solutions technologiques en phase avec les besoins de l’organisation et d’autres part, de gagner en termes de temps et de souplesse en se focalisant sur le métier de base de l’organisation.
Pour obtenir un système d’information agile, il y’a lieu d’équilibrer au mieux la balance entre les besoins liés au développement de la valeur de l’entreprise ou de l’organisation et la consommation de ressources pour y arriver. Dans le cadre d’une politique d’externalisation, le prestataire sera en mesure de proposer une offre adaptée qui pourra évoluer à la hausse ou à la baisse en fonction des besoins ponctuels permettant à l’organisation de réagir rapidement et d’une manière efficiente à de nouveaux besoins métier
En matière d’infogérance, le prestataire est en position de maitriser son métier grâce à son expertise, il est en mesure de proposer des solutions à jour, fiables et performantes. Les organisations désireuses d’augmenter la qualité de service et optimiser les coûts, peuvent ainsi se tourner vers l’infogérance plutôt que d’investir pour améliorer la qualité des services informatiques en interne.
Il ressort des objectifs du recours à l’externalisation que les motivations derrière cette décision sont principalement d’ordre technique, à travers la maitrise de la complexité et le recours à des experts dans leurs domaines, mais surtout économiques dans la mesure où l’externalisation permettrait une meilleure maitrise des coûts. Toutefois, il ne faudrait pas négliger l’importance de la prise en compte des risques face à des bénéfices immédiats. Il s’agit de risques opérationnels, réglementaires et surtout de sécurité.
Les risques opérationnels sont étroitement liés à la perte du savoir-faire en interne et à la perte du contrôle de l’activité. Ainsi, une situation de dépendance peut se créer entre le sous-traitant et le donneur d'ordre.
Les aspects réglementaires et juridiques constituent un point important qu’il convient de considérer avant de confier tout ou partie de son système d’information à un partenaire externe. Il faut d’abord pouvoir s'assurer que ce dernier se conforme rigoureusement aux lois et aux réglementations applicables. Ensuite, même en ayant intégré ces aspects dans la réflexion préparatoire à toute externalisation, il reste néanmoins la question du contrôle de l’activité lorsque le prestataire est localisé dans un pays tiers, où l’on ne dispose d'aucun pouvoir contraignant.
Enfin, les risques qui semblent aujourd'hui les mieux compris sont ceux liés à la sécurité des systèmes d’information. En effet, des sous-traitants peuvent avoir accès à des informations à caractère sensible (commerciales, techniques, financières, etc.) dont la divulgation consciemment ou inconsciemment à des tiers, peut avoir des conséquences néfastes pour l'organisme concerné. Aussi, les risques liés à la disponibilité ou même à l’intégrité des données traitées dans les systèmes externalisés peuvent s’avérer difficilement maitrisables chez un prestataire externe.
Dans la même optique, l’infogérance d’un système d’information peut nécessiter des accès à distance à l’ensemble ou partie du SI ce qui peut être à l’origine d’intrusions et de vol de données confidentielles. De plus, la mutualisation des données ou des applications avec d’autres clients représente un risque important si le prestataire ne réussit pas à mettre en place les cloisonnements nécessaires entre les environnements de chaque client.
Dans un passé relativement récent, l’externalisation était un privilège réservé aux grandes entreprises jouissant de moyens et infrastructures importantes. Aujourd’hui en revanche, avec les progrès et la réduction des coûts du matériel et des infrastructures de télécommunication et du matériel, il est désormais possible, voire avantageux, de pouvoir profiter de cette solution, même au sein des structures de taille plus modeste. Aussi, parmi les nombreux secteurs qui font appel à l’externalisation aujourd’hui, ceux de la banque et de l’assurance représentent une majorité. Le secteur public n’est pas exclu de la tendance. On y remarque d’ailleurs un intérêt croissant pour les offres en Cloud.
Malgré tous les risques précités, l’externalisation est devenue en quelques années une tendance en vogue à laquelle de nombreuses structures ont déjà eu recours ou envisagent de le faire prochainement. En effet, externalisation et sécurité ne sont pas toujours contradictoires. Le recours à un prestataire peut s’avérer dans certains cas un choix souhaitable notamment, lorsque les ressources financières ou les compétences disponibles en interne sont insuffisantes. Allier externalisation et sécurité suscite de nombreuses questions auxquelles les responsables des systèmes d’information doivent apporter une réponse afin de maitriser les risques tout en tirant profit de cette évolution technologique
A qui confier son système d’information ? Quel prestataire serait en mesure de faire valoir sa capacité à procurer des services de sécurité qui permettent d’assurer la confidentialité, la disponibilité et l’intégrité des données hébergées.
Quelles données peut-on externaliser ? La réglementation en vigueur au Maroc stipule, entre autres, que les données sensibles doivent être obligatoirement hébergées sur le territoire national. Ce qui induit pour les organisations le besoin fondamental de mettre en place un projet de classification des données conjuguée à une démarche d’analyse de risque pour définir exactement quelles sont les données susceptibles d’être externalisées de celles qui appellent un traitement particulier.
Quel impact sur l’entité ? Il s’agit notamment, de l’impact sur l’organisation interne de l’entité et du traitement à réserver à l’existant informatique ainsi que de la problématique de réversibilité en cas de réinternalisation des systèmes et services préalablement externalisés.
Tant de questionnements et bien d’autres qui doivent constituer des éléments de prise de décision susceptibles de permettre d’allier à la fois le besoin d’externaliser à celui d’assurer la protection du patrimoine informationnel sensible des organisations.
Pour apporter un éclairage à ces questions et disposer de suffisamment d’éléments susceptibles d’aider à la maitrise des problématiques liées à l’externalisation au sein de nos administrations, organismes publiques, infrastructures d’importance vitale et opérateurs du secteur privé, la DGSSI organise la 7° édition du séminaire d’information et de sensibilisation sur la cybersécurité. La thématique retenue à cet effet porte sur « l’externalisation des Systèmes d’Information et les enjeux de la cybersécurité ».
Cette manifestation inscrite dans le plan d’action 2019 de la DGSSI vient en complément à d’autres actions menées au cours des dernières années dans le but d’aider les organismes nationaux à évaluer les avantages et à maitriser les risques liés à l’externalisation de leurs systèmes d’information. Il s’agit, d’une part de la publication de plusieurs guides et référentiels en rapport avec la problématique, comme le guide d’externalisation des systèmes d’information, le guide de gestion des risques de sécurité SI ou le référentiel de classification des SI. L’ensemble de ces documents est mis en ligne sur le site web de la DGSSI (www.dgssi.gov.ma).
Le séminaire aura lieu le 12 novembre 2019 au Club de Bank Al Maghrib. Y seront conviés, les directeurs des systèmes d’information et les responsables de sécurité des systèmes d’information des administrations, des organismes publics, des entreprises marocaines privées ainsi que ceux des Infrastructures d’Importance Vitale.
DGSSI2024 All rights reserved
