« L'externalisation croit, notamment du fait du cloud computing, mais aussi sous la pression de la nécessité de répondre aux attentes de l'entreprise au plus vite et au plus efficient » a diagnostiqué Marie-Noëlle Gibon, présidente de l'Ae-SCM (association de promotion du référentiel eSCM) en ouvrant un colloque commun AeSCM/AFAI (Association Française de l'Audit et du Conseil Informatique) le 4 juillet 2011. Or, par définition, l'entreprise ne contrôle pas ce qui est externe à elle. Il convient malgré tout de le maîtriser tout en maintenant une relation équilibrée et durable.
Les directions métiers ou les clients de l'entreprise ne doivent en effet pas avoir à s'apercevoir que telle ou telle fonction est externalisée. L'intégration interne/externe doit être « sans couture ». Or, comme le reconnaît volontiers Marie-Noëlle Gibon, en plus des risques inhérents à tous les projets informatiques, « l'externalisation comporte ses risques propres ».
Passer en mode SaaS pour aller plus vite
Hubert Tournier, adjoint au DOSI du Groupement des Mousquetaires, a ainsi expliqué l'attrait du cloud computing : « les DSI autant que leurs clients internes peuvent chacun utiliser des solutions sur étagères, notamment du SaaS, pour aller plus vite. » Il existe cependant une tendance gênante : la remise en concurrence permanente. Il y a là une perte de temps considérable à chaque fois.
De nouveaux prestataires apparaissent pour répondre à cette demande encore mouvante, parfois des éditeurs classiques qui découvrent ainsi un nouveau mode de relation avec leurs clients. Mais, selon Hubert Tournier, une relation contractuelle sur huit se termine très mal de manière prévue assez en amont. Il y a, de ces faits, un manque de confiance entre clients et fournisseurs.
Une mutualisation de la confiance
Or, pour conquérir cette confiance, les clients cherchent à auditer au maximum leurs prestataires pour vérifier qu'ils utilisent bien les meilleures pratiques et les dispositifs de contrôle interne appropriés. Pour éviter de subir un grand nombre d'audits, ce qui est toujours consommateur de ressources, les fournisseurs ont tendance à opter pour des certifications. Celles-ci sont censées permettre, en quelque sorte, de mutualiser la confiance en évaluant une seule fois un prestataire. Pour Pascal Antonini, président de l'AFAI, « les référentiels permettent aux clients et aux fournisseurs de s'entendre, notamment grâce à un vocabulaire commun. »
L'AFAI et l'Ae-SCM ont ainsi travaillé sur la double certification eSCM et SAS70, les intérêts et limites de la convergence de ces deux référentiels. ESCM concerne en effet les achats IT et SAS70 toutes les externalisations. « SAS70 est un standard d'audit de toute externalisation, l'IT comme les autres » mentionne Serge Yablonsky, président d'honneur de l'AFAI. La conjonction des deux permet de préciser le champ à auditer dans les externalisations IT. SAS70 évolue en ce moment vers une nouvelle norme, ISAE 3402, plus complète.
Des réticences persistent
Cette démarche a cependant aussi ses inconvénients : outre son coût direct, toute certification prend du temps. Et les clients ne sont pas tous sensibles aux charmes d'un référentiel unique, exigeant malgré tout un audit propre, ce qui anéantit l'intérêt de la démarche. En fait, le véritable problème à résoudre reste une maturité dans la relation client-fournisseur. « Ce rapport doit évoluer en solidarité professionnelle » juge Hubert Tournier.
Comment bien maitriser l'externalisation de ses solutions
L'AFAI et l'AeSCM ont présenté leur travail conjoint sur la maîtrise de l'externalisation au cours d'une conférence commune le 4 juillet 2011.