Le périmètre et le degré d’intervention d’un prestataire d’infogérance

Le champ d’action de l’infogérance

Le champ d’intervention et le niveau de compétences exigés par l’infogérance recoupent un ensemble d’activités qui poussent à la spécialisation des offres d’externalisation informatique.

Ainsi, nous pourrions définir l’infogérance comme la combinaison de trois métiers imbriqués entre eux :

• l’infogérance de l’infrastructure, permettant d’assurer l’exploitation du système d’information;
• l’infogérance applicative, assurant le développement, la mise en production et la maintenance des applications et des logiciels;
• l’infogérance de services, fournissant les moyens de mise en œuvre, comme l’hébergement d’une application et la sécurisation des données.

Avant toute mise en place d’un contrat de service, il est primordial de comprendre que le prestataire devra réaliser un audit complet du système d’information afin de définir le niveau de service à mettre en place.

L’infogérance peut être partielle (un ou plusieurs services externalisés) ou globale, prenant alors en charge l’intégralité de la gestion des réseaux d’information. Elle peut être réalisée à distance, par un hébergement sur des serveurs externes et une maintenance en ligne via une liaison sur le système du client, ou par des prestations sur site. De plus, elle peut concerner uniquement les équipements du client ou autoriser l’intervention sur des équipements tiers (hébergeur, sous-traitant, fournisseur, etc.).

De même, le niveau d’externalisation informatique détermine le degré de responsabilité de chacune des parties prenantes. Alors qu’une infogérance globale (comme le Business Process Outsourcing, BPO) garantit un transfert total des responsabilités sur le prestataire, la Tierce Maintenance Applicative (TMA) assure la responsabilité du prestataire seulement sur la partie disponibilité et maintenance de l’application, l’usage de l’application et les résultats obtenus engageant celle de l’entreprise cliente.

C’est pourquoi il est indispensable de bien clarifier le périmètre d’intervention de l’infogérant et les intégrer dans les clauses spécifiques du contrat de service d’infogérance. Pour cela, intéressons-nous aux différentes missions de l’infogérance.

Les missions de maintenance de l’infogérance

Les activités de maintenance ont pour rôle de garantir le bon fonctionnement du système d’information (MCO, maintien des Conditions Opérationnelles), de sa sécurité (MCS, Maintien des Conditions de Sécurité) ainsi que de la maintenance des applications (TMA).

Selon son degré d’habilitation (intervention sur les ressources du client et/ou celles d’un tiers), le prestataire est en charge de la maintenance matérielle : 

• installation ou suppression de composants ou d’équipements;
• action physique sur les équipements (remplacement, ajout de mémoire, dépoussiérage du site, etc.);
• configuration et paramétrage des applications et du système d’information;
• sauvegarde (en ligne et sur un équipement hors ligne physiquement déconnecté) et restauration;
• gestion des droits d’accès des utilisateurs;
• attribution des ressources informatiques;
• maintenance préventive ou curative;
• évolution du système d’information; 
• etc.

Les missions d’administration de l’infogérance

Les activités liées à l’administration du système d’information recoupent en certains points celles de la maintenance, puisque la bonne exploitation du SI garantit ses résultats. Ainsi, le prestataire en charge de la seule gestion du système d’information interviendra également sur la maintenance matérielle et son paramétrage, la sauvegarde et la restauration des données ainsi que l’intégrité et la sécurité du SI.

Toutefois, la société d’externalisation assurera également une mission de supervision globale (des procédés, de l’architecture du SI, du réseau, des équipements, du système, des applications, etc.). Elle procèdera à des tests de performance et à l’analyse de résultats en vue de faire des préconisations sur les actions ou solutions à mettre en place. Le prestataire peut également être habilité à la gestion de projets de développement du système d’information.

Outre son rôle de conseil, faire appel à un prestataire permet d’assurer une veille technologique (matériel, application, système d’exploitation, surveillance de l’information, qualification des sources, etc.) garantissant l’évolution du SI sur le moyen et long terme et la prévention en matière de sécurité.

Les missions de sécurité de l’infogérance

Les risques liés au recours à l’infogérance sont réels, l’ANSSI (l’Agence Nationale de la Sécurité des Systèmes d’Information) définit trois niveaux.

1. La perte de maîtrise du SI, liée à la perte de la main mise sur la localisation des données et les techniques mises en œuvre par le prestataire.
2. Les risques liés aux interventions à distance (télédiagnostic, télémaintenance, utilisation d’application en ligne, etc.), car toute autorisation d’accès à distance au système d’information est une porte d’entrée à d’éventuels actes malveillants, comme le piratage ou l’espionnage industriel.
3. Les risques inhérents à l’hébergement externe mutualisé entre plusieurs utilisateurs ou de l’ensemble des services du SI d’une même institution entraînent son dysfonctionnement en cas de problème matériel ou d’acte malveillant.

Cependant, ces risques ne sont pas une fatalité et sont bien connus des professionnels de l’infogérance qui se chargent de leur appréciation afin de développer un plan d’assurance sécurité (le PAS) ainsi qu’un plan d’amélioration continue de la sécurité du SI dans le cadre de leur prestation MCS.

Les différentes mesures élaborées, et à bien définir dans le contrat de service, doivent permettre :

• d’interdire toutes tentatives d’intrusion sur le système d’information depuis une de ses interconnexions (application, site web, serveur, hébergeur, etc.);
• de prémunir l’entreprise ou l’institution publique de toutes tentatives d’élévation de privilèges ou de droits d’accès;
• d’éviter la perte de communication entre les différents équipements et ressources de l’ensemble des services informatiques du Cloud;
• d’être alerté en cas d’actes malveillants (piratage ou installation de virus);
• d’assurer la destruction des données et des équipements lorsqu’ils sont obsolètes;
• d’élaborer une procédure d’urgence en cas de défaillance ou d’évènements externes;
• d’assurer une mise à jour de sécurité régulière; 
• de procéder à la segmentation du SI par la mise en place de “zones de confiance” afin de remédier aux risques liés à l’hébergement mutualisé;
• d’effectuer des sauvegardes régulières sur au moins un équipement hors ligne;
• etc.

Enfin, recourir à un prestataire externe spécialisé pour la sécurité d’un système d’information a pour avantage de permettre une veille permanente sur l’évolution des menaces (risques technologiques, évolution des normes de sécurité, alertes de cyber attaques, etc.).

Nous vous recommandons ces autres pages :

• Les définitions de l’infogérance
• Les parties prenantes de l’infogérance
• Les chiffres clés du marché de l’infogérance en France
• Les défis à relever en tant qu’infogérant
• Quels sont les types d’infogérance ?
• Externalisation ou infogérance ?