Les points-clés des contrats de maintenance

Rédaction

Pour le DSI, les contrats de maintenance constituent des éléments essentiels de la politique de sécurité, d’autant que la maintenance est généralement sous-traitée à des constructeurs, des éditeurs de logiciels, des intégrateurs ou des sociétés de services. Ainsi, il s’agit, avec de bons contrats de maintenance, de diminuer les temps d’indisponibilité des matériels et des logiciels. Plus largement, ils participent à la qualité des systèmes d’information.

On distingue généralement plusieurs types de maintenance. D’abord la maintenance préventive, lorsque le prestataire effectue des visites régulières sur place pour contrôler l’utilisation des matériels ou des applications.

Ensuite, la maintenance de dépannage, qui intervient lorsque surviennent des dysfonctionnements ou des incidents (problème d’alimentation électrique pour les matériels, erreurs d’exploitation pour les applicatifs…). Elle s’effectue, pour les dysfonctionnements les moins graves, soit par télémaintenance (le fournisseur effectue à distance un diagnostic et/ou une réparation), soit par assistance téléphonique, lorsque l’utilisateur agit sur instructions, soit, pour les problèmes les plus sérieux, par une intervention sur place.

Enfin, la maintenance évolutive permet d’améliorer un produit (logiciel), par exemple avec l’installation de nouvelles fonctionnalités ou l’adaptation à un changement d’environnement technique. Le choix des types de maintenance s’effectue à l’issue d’une étude des besoins des utilisateurs et du service informatique, en liaison avec le responsable sécurité.

L’objectif, rappelons-le, est d’obtenir un taux maximal de disponibilité des équipements, donc du système d’information. Celui-ci sera optimisé lorsqu’une maintenance préventive aura été assurée (par exemple, pour les matériels, par des contrôles périodiques des pièces stratégiques, un entretien régulier, le changement de composants en fonction de leur usure, etc.).

Le contrat, brique essentielle de la maintenance

Quel que soit le type de maintenance, dès lors qu’un tiers intervient, son action est régie par un contrat. Celui-ci doit aborder au moins les trois éléments fondamentaux suivants. D’abord, une description très précise des prestations qui seront délivrées par le prestataire à l’utilisateur.

Selon la norme Afnor, le résultat de la prestation peut être exprimé en unités d’usage, en disponibilité (x heures par jour), en « état de référence à maintenir ». Ensuite, le contrat doit expliciter l’ensemble des conditions d’intervention du prestataire, par exemple dans quels cas elle s’effectue par téléphone, par télémaintenance ou sur site, et à quels coûts.

Enfin, le contrat de maintenance précise les délais qui s’appliquent. On mentionnera notamment deux cas de figure : le délai durant lequel le fournisseur met à disposition ses équipes, et le délai maximal de remise en état des systèmes ou des applications. Le principe d’applications et le montant des pénalités doivent également être explicités dans le contrat de maintenance.

Le DSI a tout intérêt à s’adjoindre les services de spécialistes juridiques pour éviter les éventuels problèmes au cours du cycle de vie des matériels et des logiciels.

Dix principes de mise en œuvre

  1. Effectuez un audit de maintenance. Il s’agit notamment d’identifier les machines et applications critiques, de définir une situation de référence de celles-ci (avec la documentation correspondante). On identifie également les besoins de maintenance préventive.
  2. Cartographiez votre parc de matériels et applicatifs. Distinguez la maintenance préventive et la maintenance corrective au sens de la norme Afnor 60-010. La première peut être systématique (avec un échéancier), conditionnelle (avec des seuils d’intervention) ou prévisionnelle (selon l’évolution de paramètres précis). La seconde peut être palliative (dépannage provisoire) ou curative (réparation pour remise dans un état spécifié).
  3. Formalisez les critères de sélection des sous-traitants. Par exemple : compétences techniques dans les environnements spécifiques (systèmes d’exploitation, types de serveurs, applications métiers…), encadrement des équipes, moyens techniques mis à la disposition de l’entreprise, références des clients, formation des intervenants, réactivité.
  4. Soignez le cahier des charges de l’appel d’offres auprès des prestataires : besoins à satisfaire, modalités de mise en œuvre de la prestation, contraintes. Quantifiez le maximum d’éléments. Toute modification du contrat fait l’objet d’un avenant écrit et signé par les deux parties. Le prestataire s’interdit de modifier le cahier des charges sans l’accord de l’entreprise. De même, le prestataire s’engage à informer l’entreprise, tant préalablement qu’au cours du contrat, de tout élément susceptible d’améliorer l’exécution de la prestation ou d’en diminuer le coût.
  5. Déterminez des objectifs de résultats avec le prestataire, et répartissez les responsabilités respectives en fonction des risques que vous avez identifiés. Le prestataire n’a pas à prendre en charge des risques qu’il ne peut maîtriser. Evitez donc de lui déléguer trop de responsabilités.
  6. Établissez régulièrement un bilan des opérations de maintenance, par exemple sous forme de tableau de bord, avec un suivi historique des principaux indicateurs (taux d’incidents, délai moyen de réaction, type d’incidents classés selon leur gravité potentielle, coût moyen d’une intervention…). Chaque opération de maintenance doit donc faire l’objet d’un descriptif précisant les dates, la nature des opérations et les noms des intervenants, transmis à l’entreprise.
  7. Formalisez des indicateurs de performances avec les prestataires : sécurité (mesurés sous forme de type de précautions prises), disponibilité, réactivité, coûts, gestion des ressources humaines.
  8. Veillez à la confidentialité des informations concernant les incidents et leur traitement. Le prestataire est tenu d’assurer la confidentialité. En cas de télémaintenance permettant l’accès à distance aux fichiers de l’entreprise, le prestataire prendra toutes dispositions afin de permettre à l’entreprise d’identifier la provenance de chaque intervention extérieure. à cette fin, le prestataire s’engage à obtenir l’accord préalable de l’entreprise avant chaque opération de télémaintenance dont elle prendrait l’initiative (recommandation de la Cnil).
  9. Prévoyez une traçabilité complète de toutes les opérations de maintenance, qu’elle qu’en soit la nature. Le prestataire doit tenir à jour ces informations et les fournir sur demande ou, au minimum, à intervalles réguliers. Pour garantir la disponibilité des matériels sous contrat, le prestataire s’engage à disposer d’un stock de pièces stratégiques, qui sera assuré.
  10. Anticipez les fins de contrats, pendant l’exécution ou à son terme. Une rupture non justifiée ou pour cause de défaillance peut donner lieu à des dommages et interêts. De même, anticipez les changements de périmètres (taille du système d’information, évolution du nombre d’utilisateurs, introduction de nouvelles technologies nécessitant de nouvelles compétences de la part du prestataire). En cas d’inexécution ou de retard dans l’exécution du contrat, l’entreprise se réserve le droit de demander une compensation sous forme de dommages et intérêts du préjudice qu’il subit de ce fait. Cette demande ne préjuge en rien de toute décision de résiliation du contrat.

Définition

Un contrat de maintenance est un document par lequel une entreprise, dite prestataire, se voit attribuer le rôle de vérifier, entretenir et réparer un système technique, qu’il soit matériel ou immatériel pour garantir une conformité à un ensemble de spécifications.

Que doit contenir un compte-rendu de maintenance ?

Toutes les opérations de maintenance font l’objet de comptes-rendus. La mise en œuvre d’une documentation à jour et exhaustive concernant ces opérations répond à plusieurs objectifs : optimiser la fréquence des opérations de maintenance pour chaque équipement, contrôler le respect des contrats par la société de maintenance, améliorer le taux de disponibilité des équipements installés et diminuer les coûts de maintenance.

Le compte-rendu périodique de maintenance contiendra au minimum les éléments suivants :

  • un descriptif des activités de maintenance ;
  • le ou les motifs d’intervention ;
  • la date des interventions ;
  • leur durée ;
  • la liste des éléments et composants qui ont été remplacés ou réparés ;
  • une appréciation qualitative de l’exécution des opérations ;
  • le coût de l’opération de maintenance, exprimé en heures-hommes ;
  • le montant payé, s’il y a lieu, à la société de maintenance ;
  • la durée, exprimée en heures, durant laquelle un équipement faisant l’objet d’un contrat de maintenance n’a pas fonctionné correctement ;
  • un numéro d’ordre de travaux.

Á retenir

  • En période de réduction de coûts, attention à la tentation de couper les dépenses de maintenance : privilégiez l’optimisation des coûts plus que leur diminution.
  • Tous les éléments et événements concernant la maintenance doivent être consignés par écrit (traçabilité exhaustive).
  • Faites-vous accompagner par des professionnels du droit des contrats pour éviter d’être trop dépendants des prestataires.
  • Prévoyez les sorties de contrat avec le même soin que la vie du contrat.
  • Établissez un tableau de bord synthétique pour le suivi des opérations de maintenance et des performances du système d’information.