GUIDES PRATIQUES
Comment limiter les risques liés à l’externalisation
Par La rédaction, publié le 26 août 2011
Retour sur eSCM, le jeune référentiel de bonnes pratiques spécialisé dans la sous-traitance IT. Un livre blanc vient de lui être consacré par les associations Afai et Ae-SCM.
Applications ou infrastructures hébergées, Software as a Service (Saas), outsouring des processus métier (BPO), infogérance… Les offres liées à l’externalisation de l’IT se répandent comme une traînée de poudre et sont délivrées par des prestataires qui, pour certains, découvrent ces métiers de l’hébergement et de l’infogérance. Dans ce contexte, il devient plus qu’urgent de maîtriser au maximum les risques liés à la sous-traitance informatique.
Zoom sur un outil spécifique à ces enjeux : eSCM (eSourcing Capability Mode), un référentiel de bonnes pratiques dédiées aux relations client-fournisseur dans le cadre d’une prestation IT. Un référentiel encore jeune (sa stabilisation date de 2007), et sur lequel se sont penchées deux associations, l’Afai et l’Ae-SCM. Elles lui consacrent un livre blanc (bientôt téléchargeable) dans lequel il est associé à une norme d’audit dédiée aux mêmes enjeux : SAS 70. Tour d’horizon.
A qui s’adresse le référentiel eSCM ?
A la fois aux clients et aux fournisseurs. C’est l’une de ses spécificités. Et ce, au travers de deux référentiels distincts, eSCM-CL (for Client Organizations) et eSCM-SP (for Service provider). « eSCM ne vise que les activités relatives à la commande d’une prestation (sourcing). Autrement dit, il s’applique à tout ce qui traite de la relation client-fournisseur touchant l’informatique », rapporte Eric Baussand, président d’eSourcing Partners. Dans l’entreprise cliente, seul le périmètre faisant l’interface avec les fournisseurs est concerné. Chez ces derniers, en revanche, c’est toute l’organisation qui est touchée par eSCM, puisqu’elle est entièrement mise au service des clients.
ESCM ne fournit aucune certification. Il présente seulement une méthode pour observer le fonctionnement d’une organisation par le prisme de domaines (gouvernance, collaborateurs, technologies…) et de pratiques. eSCM-CL, par exemple, en compte respectivement 17 et 95. Concrètement, il délivre aux organisations un niveau d’aptitude à maîtriser les risques de la sous-traitance IT. eSCM-SP définit, par exemple, cinq paliers : fournir empiriquement un service, satisfaire aux exigences de façon cohérente, gérer la performance de l’organisation, accroître progressivement la valeur et enfin maintenir l’excellence.
En quoi est-il particulièrement adapté aux prestations IT ?
Il couvre tout le cycle de la sous-traitance : pour la partie client, il détaille ainsi le sourcing (les services à externaliser, à internaliser, les exigences associées…), la phase de démarrage (avec l’identification et la sélection des fournisseurs), la fourniture du service et enfin la clôture du contrat. « Avec le Saas notamment, les enjeux de récupération de services et leur transfert d’un fournisseur à l’autre sont légion. Cette partie est souvent négligée dans les contrats. Elle est bien détaillée dans eSCM », explique Hubert Tournier, adjoint Dosi (direction de l’organisation et des systèmes d’information) du Groupement des Mousquetaires.
Le modèle a été pensé autour d’une vingtaine de thématiques critiques. Citons, parmi celles-ci, le « sourcing », bien sûr, mais aussi la différente perception entre clients et fournisseurs de la notion de spécification de service. « eSCM détaille par ailleurs la finalité même des services, sans se limiter à leur bon fonctionnement. Ce qui l’amène à se pencher sur la valeur attendue », indique Eric Baussand.
Est-il répandu ?
Non, assez peu. Créé à l’Université de Pittsburgh par des fondateurs du modèle CMMi, il reste assez jeune. Parmi les utilisateurs précurseurs, citons La Poste, le Groupement des Mousquetaires ou Pôle emploi. Ce dernier s’est appuyé sur les domaines d’eSCM-CL pour déployer ses centres de services. Un marché de 80 millions d’euros sur quatre ans. « Les neuf domaines que nous avons exploités ont permis de structurer notre approche et de ne rien oublier en matière de réversibilité de service, de gouvernance ou d’assurance qualité », précise Laurent Stricher directeur général adjoint en charge des systèmes d’informations de Pôle emploi.
eSCM peut-il être couplé à des normes d’audit ?
Oui. C’est même encouragé… Le livre blanc de l’Afai et de l’Ae-SCM propose ainsi de l’associer à SAS 70. La norme américaine spécialisée dans le contrôle interne de prestataires IT a pris de l’ampleur dans les années 2000 avec les régulations de Sarbanes-Oxley. « eSCM et SAS 70 se complètent au niveau des objectifs de contrôle, détaille Eric Baussand. Ces objectifs, que SAS 70 a besoin d’identifier, eSCM permet de les faire vivre en y apportant de la matière. En l’occurrence des bonnes pratiques et des activités. »
Historiquement, SAS 70 est plus généralement couplé avec Cobit, bien plus connu qu’eSCM. Ce référentiel spécialisé dans la gouvernance et l’audit des systèmes d’information englobe également les prestations. « Mais pour chaque mission d’externalisation, il faut rechercher dans Cobit les tests et les objectifs de contrôle nécessaires à cette certification SAS 70. C’est bien plus contraignant qu’avec eSCM qui, lui, suit le cycle de la prestation », commente Serge Yablonsky, président d’honneur de la l’Afai.