Les dysfonctionnements des matériels touchent plus d’une entreprise sur deux. La maintenance reste incontournable pour limiter les risques. Mais comment bien choisir son prestataire ? Revue des critères à prendre en compte.
Les études annuelles réalisées par le Clusif (Club de la sécurité de l’information français) révèle que 80 % des DSI et RSSI (responsables sécurité des SI) considèrent que la dépendance de leur organisation à l’égard des systèmes d’information est forte et jugent « lourde de conséquences une indisponibilité de moins de 24 heures de leurs outils informatiques ».
Ce degré de dépendance a d’ailleurs augmenté de façon significative en une dizaine d’années, puisqu’il n’était que de 55 % en 2001. Un autre enseignement important de l’étude menée par le Clusif est que l’essentiel des risques ne provient pas, comme on pourrait le croire à l’image de leur médiatisation, d’actes de malveillance ou de piratage mais de problèmes matériels.
Ainsi, la vulnérabilité des entreprises est bien davantage liée aux erreurs d’utilisation, à des pertes de services essentiels (électricité, réseaux de télécoms…) ou à des pannes d’origine interne, qui touchent une entreprise sur deux.
Dans ce contexte, la maintenance des systèmes occupe une place centrale. Sa qualité conditionne la performance du système d’information. N’oublions pas que le marché mondial de la maintenance et du support des matériels informatiques, de stockage et de réseaux est en croissance. Selon une étude publiée par le Crédit Suisse en 2011, ce marché s’élèvera à 99 milliards de dollars à l’horizon 2015, soit dix milliards de plus qu’en 2011 avec un taux de croissance annuel moyen de 2,9 %.
Pour les constructeurs, la maintenance reste une source de revenus non négligeable (environ 20 % du chiffre d’affaires des services) et, on s’en doute, une source de marges, même si ces dernières ont tendance à fondre. D’où certaines tentatives pour conserver captif ce marché qui reste stratégique pour entretenir et développer une base installée.
Plusieurs acteurs interviennent sur le marché de la maintenance : les constructeurs, les prestataires spécialisés dans la maintenance, les infogérants, voire les intégrateurs. Comment choisir le meilleur prestataire ? Plusieurs critères peuvent être pris en compte.
1. La prise en compte de l’hétérogénéité de l’existant
Les entreprises s’appuient rarement une infrastructure informatique homogène. Leurs systèmes peuvent mêler à la fois des plates-formes x86 et des processeurs propriétaires, des serveurs et baies de stockage de divers constructeurs, des systèmes Unix, Windows ou AS400, ou encore des technologies de virtualisation ou de réseau différentes. Un prestataire de maintenance doit être capable de gérer ces éléments hétérogènes et disposer d’expertises multi-plates-formes.
2. L’indépendance à l’égard des constructeurs et éditeurs
L’indépendance du prestataire à l’égard des fournisseurs de technologies est le corollaire du critère précédent. Dès lors qu’un lien préférentiel existe avec l’un ou l’autre des grands constructeurs ou éditeurs du marché, il est en effet difficile de garantir une réelle neutralité technologique. Ce point n’est pas forcément bloquant, mais il convient de vérifier au préalable la nature des liens commerciaux entre un prestataire et les constructeurs/éditeurs qu’il représente.
3. La transparence des aspects contractuels
Parmi les points nécessitant une attention toute particulière figure bien entendu le contrat. Là encore, c’est au prestataire de s’adapter à son client plutôt que l’inverse. Certains contrats proposés s’avèrent en effet très rigides, à tel point qu’ils enferment l’entreprise dans un cadre dont il est difficile de sortir. Les entreprises ne doivent donc pas hésiter à se faire accompagner par des juristes pour négocier leurs contrats de maintenance, en veillant notamment aux clauses de sortie (réversibilité).
4. La couverture géographique
Dès lors qu’une entreprise possède plusieurs sites, aussi bien sur le territoire national qu’à l’international, elle doit veiller à la couverture géographique proposée par les prestataires. La maintenance des systèmes, surtout s’ils sont critiques, peut en effet nécessiter des interventions sur site, parfois en urgence, pour faire face à un problème imprévu.
5. Les plages d’interventions
L’entreprise doit également prendre en considération les plages horaires proposées par le prestataire pour les interventions. Ces périodes doivent être alignées sur ses contraintes métiers de l’entreprise : si son activité est continue 24 heures sur 24, 7 jours sur 7, le prestataire doit pouvoir répondre à son besoin. Il en va de même si le contrat couvre des filiales situées à l’étranger.
Le prestataire choisi doit être en mesure d’assurer un support sur l’ensemble des périodes ouvrées de son client. Sans cela, une banale panne hors des horaires d’ouverture du support peut avoir des conséquences problématiques pour l’entreprise, qui risque de se retrouver bloquée pour une durée indéfinie.
6. Le guichet unique
Le DSI qui choisit d’externaliser la maintenance de ses systèmes ne dispose pas nécessairement en interne de l’expertise nécessaire pour identifier et localiser l’origine d’une panne. Dans ce cas, il est difficile pour lui de s’y retrouver s’il dispose de quinze contacts différents à appeler en cas de problème : l’un pour le réseau, l’autre pour le stockage, etc.
Le regroupement des différents services de maintenance sous un système de guichet unique peut alors lui faire gagner un temps précieux. En outre, cela contribue à rendre l’offre de services plus lisible.
7. La transparence de la tarification
Des tarifs clairs et précis sont un critère de choix essentiel pour une entreprise envisageant de recourir à l’externalisation de la maintenance. Qu’il s’agisse des opérations de maintenance quotidienne ou des tarifs pour les interventions sur site, ces tarifs doivent être fixés à l’avance quand les tâches concernées sont connues. Et de même, pour éviter les mauvaises surprises, les modalités doivent être clairement définies en ce qui concerne la résolution des pannes.
8. La réactivité sur incidents
Il est légitime de demander à son prestataire d’être réactif en cas d’incident, c’est la moindre des choses. Néanmoins, la réactivité n’est pas forcément comprise de la même manière par les sociétés de services et leurs clients. Aussi, un critère important concerne les délais d’intervention : le prestataire doit s’engager sur des délais réalistes mais précis, en spécifiant clairement les tarifs pour chaque cas. La mise en place d’outils de télésurveillance et de télédiagnostic sur les sites confiés au prestataire permettra également à ce dernier de réagir plus vite en cas d’incident.
9. Le respect des méthodes qualité (Itil, Iso…)
La qualité est un mot trop souvent galvaudé par les prestataires. Pourtant, dans le cadre d’un contrat de maintenance, il a tout son sens, l’activité de l’entreprise dépendant du bon fonctionnement de ceux-ci. Le DSI doit notamment s’assurer que les prestataires envisagés disposent des compétences et des ressources nécessaires pour assurer le service demandé.
Il doit également vérifier que les normes et bonnes pratiques liées à l’exploitation informatique sont mises en œuvre et appliquées par le prestataire. Des standards de l’industrie comme Itil, ou les normes ISO en matière de sécurité ou de continuité d’activité favorisent ainsi l’industrialisation et la qualité des services.
10. Les engagements de services (avec granularité) et la segmentation des prestations selon les besoins
Toutes les entreprises n’ont pas les mêmes besoins en termes de service. La capacité du prestataire à proposer des contrats de services personnalisables, adaptés à la criticité des services supportés par les systèmes, est donc un critère de choix important. Le DSI doit pouvoir choisir les niveaux de services et les prestations adaptées à ses métiers, le tout avec la granularité qui lui convient.
11. La qualité des références clients
Un prestataire efficace gagne la confiance de ses clients, qui sont davantage enclins à témoigner en sa faveur. Des références précises et variées sont un bon indicateur de la relation qu’entretient le prestataire avec ses clients. L’existence de plusieurs références par secteurs d’activité peut également indiquer que le prestataire connaît les contraintes liées aux métiers de ses clients et qu’il est capable d’y répondre. On peut aussi vérifier la réputation des prestataires (clubs et réseaux de DSI, Ratings Best Practices…)
12. La qualité des outils de reporting
L’entreprise qui choisit de confier la maintenance de son infrastructure à un prestataire a besoin de visibilité. Si ne fournir aucun indicateur est évidemment contestable, noyer le DSI sous les indicateurs techniques s’avèrera tout aussi inutile si celui-ci ne dispose pas de ressources en internes pour les interpréter.
Le prestataire doit donc être en mesure de fournir un reporting clair et régulier, voire en temps réel si nécessaire, avec des indicateurs personnalisés, adaptés aux métiers, à leur niveau d’expertise et aux contrats de services mis en place.
13. La transparence pour les points d’escalade
Il est important que le DSI connaisse précisément le fonctionnement du processus d’escalade mis en place par son prestataire, afin de savoir, par exemple, à qui s’adresser pour obtenir des informations sur un problème en cours de résolution, ou lorsque le prestataire a besoin de faire appel au support des constructeurs et fournisseurs de plates-formes.
14. Le respect des règles de l’art (respect des recommandations constructeurs et pièces détachées d’origine)
Il peut arriver que l’un des systèmes confiés au prestataire nécessite le remplacement d’une pièce. Dans ce cas, il est important de s’assurer que le prestataire respecte les recommandations du constructeur du matériel concerné, notamment pour préserver la garantie légale.
15. L’engagement de résultats
Le prestataire auquel une entreprise confie la maintenance de ses systèmes doit être en mesure de s’engager sur les résultats fournis, surtout s’il s’agit de systèmes critiques. Cela implique des contrats de services précis, mentionnant le niveau de disponibilité attendu, les délais d’intervention en cas de panne, les exigences de sécurité requises par le client, etc.
16. L’étendue de l’offre de services associés
Un prestataire capable de proposer une offre étendue en matière de services permet au DSI de choisir exactement ce qui correspond à ses besoins, en optimisant ainsi sa stratégie de maintenance. Ces services peuvent être par exemple l’installation, la déconnexion, le déménagement de plates-formes multiconstructeurs, l’expertise technique, le suivi et conseil de gestion de parc, l’assistance technique sur site, l’administration sur site, la fourniture et l’installation de mises à jour et les services logiciels associés, l’assistance téléphonique, la télédistribution des mises à jour, l’analyse des sources de panne, les interventions planifiées sur site ou encore la gestion des évolutions.
17. La possibilité d’avoir des techniciens exclusifs
Un critère de choix important pour le client est la possibilité de bénéficier de ressources spécifiques sur ses sites. Disposer d’un technicien à demeure est en effet un gage de sécurité non négligeable. En outre, cela permet d’avoir une relation de proximité avec le prestataire : celui-ci connaît ainsi mieux son client et, en principe, peut mieux répondre à ses demandes.
| Les cinq techniques des constructeurs pour rendre leurs clients dépendants | |||
| Tactiques des constructeurs |
Principe mis en œuvre | Exemples (réels) | Points d’attention |
| L’effet « halo » |
|
« Notre dégageons toute responsabilité directe ou indirecte en cas d’intervention ou action de prestataires non agréés sur vos infrastructures, à plus forte raison en regard de l’activité de vos clients finaux. » | Il est logique que le constructeur se protège du risque que des prestataires qui ne garantiraient pas un niveau de qualité et d’expertise interviennent chez ses clients. Toutefois, Il y a lieu de préciser que les ventes liées, qui consistent à subordonner l’achat d’un produit ou d’un service à l’achat concomitant d’un autre produit ou service, sont prohibées entre professionnels lorsqu’elles relèvent d’un abus de position dominante (article L. 420-2 du Code de commerce). Par ailleurs, la loi oblige tout vendeur à mentionner sur la facture le prix unitaire HT des produits ou services vendus (article L. 441-3, alinéa 3 du Code de commerce). |
| L’effet « chien de berger » |
Pour éviter que les clients ne se dispersent, verrouiller le marché en interdisant le client de faire appel à certaines catégories de prestataires ou de compétences, avec des arguments qui paraissent légitimes et de bon sens | « XXX commercialise ses offres de maintenance matérielle et de support logiciels associés soit en direct vers ses clients, soit en indirect à travers son réseau de partenaires agréés. Ceux-ci se réassurant alors eux-mêmes auprès de XXX. Et seuls ces partenaires agréés peuvent vous proposer des offres de maintenance et/ou de support logiciel validés et reconnus par XX, sous réserve qu’ils aient contracté un contrat en ce sens avec XX. »
« Seuls ces partenaires agréés peuvent vous proposer des offres de maintenance et/ou de support logiciel validés et reconnus par XX » |
Le processus d’agrément suppose que le partenaire assimile et suive les bonnes pratiques préconisées par le constructeur. On remarquera que, hors expertise technique pointue contrôlée par le constructeur, les bonnes pratiques sont relativement universelles. |
| L’effet « d’expertise sélective » |
Limiter l’interopérabilité de ses produits et solutions de manière à contrôler l’ensemble de leur cycle de vie | « Notre expérience sur des infrastructures telles que la vôtre nous pousse à vous recommander de procéder à la souscription d’un contrat de maintenance et de support pour couvrir la solution mise en place, adapté aux enjeux métiers de l’environnement traité et afin d’en assurer la meilleure disponibilité, auprès d’une structure agréée par XXX ou directement auprès de XXX. ». | Dans le domaine des technologies de l’information, l’expertise technique et l’innovation sont les piliers de l’avantage compétitif. Il est normal qu’un constructeur souhaite protéger son savoir-faire. Encore faut-il qu’il n’enferme pas ses clients dans des systèmes excessivement propriétaires et qu’il offre une réactivité suffisante… Et au bon rapport qualité/prix. |
| L’effet « porte-monnaie » |
|
« Un client de produits XX conserve la possibilité d’accéder aux patchs et mises à jour de firmware standard publiés sur le site Web XX. Mais seuls les clients ayant souscrit directement ou indirectement un contrat de support auprès de XX pourront bénéficier des escalades allant jusqu’au développement de patchs spécifiques correctifs et/ou anticipés par rapport à leur publication standard sur Internet. Les partenaires agréés XX ont la possibilité de solliciter, au nom du client final, ces escalades, et sont alors des relais actifs contribuant à la résolution des problèmes éventuels. »
« La non-réassurance de ce support logiciel et/ou des abonnements aux mises à jour auprès de XX implique, pour le client final, la perte de ses droits aux mises à jour sur la période de non-souscription. En cas de retour ultérieur en support, le client se verra facturer le rétroactif correspondant à la période de non-souscription, majoré d’une pénalité (et ce, comme tous les éditeurs de logiciels le font). » |
Le principe qui consiste à facturer des services additionnels est intégré dans toutes les approches commerciales. Au DSI de bien s’informer et de choisir en connaissance de cause.
De telles pratiques, parce qu’elles tendent à décourager les clients à avoir recours à des prestataires de maintenance, pourraient être qualifiées de pratiques anticoncurrentielles, contraires à l’article L. 420-2 du Code de commerce, lorsqu’elles sont imposées par des entreprises en position dominante. C’est la position soutenue par la SIA (Service Industry Association), association d’entreprises de maintenance informatique. Cette dernière a, en effet, déposé, fin 2010-début 2011, des plaintes aux États-Unis et devant l’Union européenne (en cours) contre un grand acteur du marché IT imposant des droits de requalification aux clients ayant préalablement signé un contrat avec un prestataire de maintenance. |
| L’effet de « dissuasion coercitive » | Utiliser la menace voilée, de type « À vos risques et périls !», en veillant à habiller le discours de considérations techniques, juridiques ou économiques. | « Nous avons connaissance du fait que des tiers, non agréés, remettent des offres techniques et commerciales à des clients. Leur modèle de delivery support repose parfois sur de l’approvisionnement de pièces XX via des circuits parallèles illégaux. »
« Notre devoir légal de conseil nous oblige à attirer vivement votre attention sur les risques encourus avec de tels tiers. » |
Il convient de ne pas confondre la garantie légale et la garantie contractuelle (commerciale). La garantie contractuelle, dont la durée, le contenu et les conditions de mise en œuvre sont définis librement par le fournisseur, n’est pas obligatoire : elle existe si ce dernier l’a proposée et que l’acheteur y a consenti. Elle s’ajoute à la garantie légale, mais ne peut jamais en exclure les effets. La garantie légale des vices cachés, qui a pour objet de protéger l’acheteur contre les défauts de la chose vendue, tels que des défauts de fabrication, est, quant à elle, d’ordre public (articles 1641 et suivants du Code civil). Il s’ensuit que si un fournisseur peut prévoir des cas de perte de la garantie contractuelle, il ne peut en aucun cas remettre en cause le bénéfice de la garantie légale. En outre, si la chose vendue présente un défaut de sécurité, la loi prévoit un régime de responsabilité de plein droit du producteur (articles 1386-1 et suivants du Code civil). |
| Source : Digitalonomics. | |||