Publicité en cours de chargement...
Comparatif des enjeux d’externalisation – partie 2
Le critère stratégique : tout comme la nation peut décider de flécher ses moyens sur l’avion Rafale ou la lutte contre le tabagisme plutôt que sur la production de masques, un décideur peut choisir de se focaliser sur son cœur de métier et un sous-ensemble de fonctions supports. Ça le regarde, c’est un choix, il serait juste préférable qu’il ne s’agisse pas d’un choix « par défaut » : externaliser telle fonction parce que l’on arrive plus à la maintenir en interne.
Le critère humain : externaliser revient à faire évoluer les métiers internes. Quand on produisait et stockait nous-mêmes nos masques, on avait affaire à Josette de la compta et à Marcel de l’entrepôt. Maintenant, on a affaire au patron d’une usine chinoise, à trois interprètes, au décalage horaire, etc. De « faiseurs », on passe à « acheteurs, chargés du pilotage des contrats, auditeurs » (bon courage à ceux qui sont certifiés ISO : la modification du périmètre et l’audit des contrats vont être une vraie partie de plaisir), etc. Ce ne sont pas les mêmes profils, et on ne les forme pas en un mois, sans parler de la question du devenir des agents internes. Éluder cette question majeure conduit à augmenter le risque d’échec du projet.
Le projet opérationnel : une fois la décision prise, passer du monde « interne » au mode « externalisé » constitue un projet en soi, qui peut durer des mois, voire des années, et qui ne se passe absolument jamais sans anicroches. Croire que parce que l’on a signé le contrat, l’affaire est close, c’est se mettre en danger. Et accessoirement, ne pas éluder la question de la réversibilité : un jour, on changera de crémerie, et ceux qui l’ont vécu vous en parleront : c’est toute une poésie.
Le volet financier : en plus des éléments évoqués plus haut (déplacement de la structure de coût, augmentation de la facture globale, etc.), il faut bien garder en tête qu’une fois votre datacenter totalement hébergé en externe, la moindre demande de modification va se payer au prix fort. Demandez un peu à ceux qui ont externalisé leur gestion de bâtiment (ce qu’on appelle un PPP : partenariat public-privé).
Le volet juridique : parmi les profils que vous allez devoir recruter, il y a des juristes de haut niveau. Vous pensez vous débarrasser de ces vieux informaticiens aux lunettes en cul de bouteille et à la chemise sortie du pantalon, votre projet de transfert n’est même pas terminé que vous voyez arriver les factures des avocats, des auditeurs, etc.
Le volet sécurité : c’est certainement là que l’on entend le plus d’âneries, à savoir que l’externalisation sécurise le processus. C’est faux : l’externalisation ne fait que déplacer la matrice des risques. Le risque géopolitique (guerre, etc.) ou de pandémie mondiale n’existait quasiment pas dans la version totalement internalisée de la production et du stockage des boîtes de Doliprane, idem pour l’informatique. Depuis des années, le pays transfère des pans entiers et stratégiques de l’informatique de la nation aux Américains. Sachez juste qu’il suffit à Donald d’un coup de fil et de cinq minutes pour bloquer presque toute l’informatique de la cinquième puissance mondiale, et sans aucun coup férir (si vous ne voyez pas comment, sachez que c’est très simple). Globalement, il faut être sacrément aveugle pour affirmer que l’externalisation du SI, par exemple de ses datacenters, n’a aucun impact sur le PCA/PRA : la seule question de la défaillance opérateur implique de mettre en place des dispositifs coûteux et dont aucun n’est efficace à 100 % (efficacité elle-même difficile à mesurer, les questions des chemins de câbles étant d’une rare opacité).
Enfin, le volet intégration : tout comme l’approvisionnement par une chaîne logistique externe modifie les rapports avec la logistique interne, l’externalisation de tout ou partie du SI pose des questions très complexes de l’interface avec le bout IT qui est forcément resté en interne (eh oui ! il reste des PC, des routeurs, etc.).
Quand Alain Bauer avance[1] que, dans les sociétés modernes, les comptables ont pris le pouvoir sur les stratèges, il entend par là que trop souvent seul le volet financier est traité dans les décisions stratégiques. Or, toute décision d’externalisation, qui est éminemment stratégique, se doit de prendre en compte les sept aspects susnommés, et en particulier la question de la sécurité. Le décideur peut alors, en toute connaissance de cause, décider tout de même de privilégier telle ou telle dimension (le plus souvent, le choix se joue entre la sécurité et les finances) au détriment des autres. Favoriser les aspects financiers est d’ailleurs un calcul tout à fait valable dans certains cas.
Le pire risque n’est pas celui que l’on court, mais celui dont on n’a même pas conscience. En tant que RSSI, le fait qu’un décideur dise « J’ai bien compris la dimension risque de l’externalisation, mais je choisis en connaissance de cause d’externaliser tout de même pour des raisons financières » ne pose aucun problème en termes de processus de prise de décision, du moment que l’on s’est bien assuré d’avoir abordé, instruit et compris les sept facettes précédemment décrites.
Avez-vous apprécié ce contenu ?
A lire également.

Dernier billet philosohico-cyber avant la plage
21 juil. 2025 - 10:00,
Tribune
-À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Le numérique médico-social : mutation systémique et levier d’humanité
08 juil. 2025 - 01:07,
Actualité
- DSIHLongtemps resté en périphérie des politiques publiques du numérique en santé, le secteur médico-social entre aujourd’hui dans une phase de transformation profonde. C’est cette bascule, inédite et structurante, que décrivent Olivier Babinet et Manon Lorenzo dans leur ouvrage Le virage du numérique en...

Pilotage des blocs opératoires : l’Anap dévoile une plateforme numérique intégrée pour améliorer la performance et la gouvernance
08 juil. 2025 - 00:26,
Actualité
- DSIHL’Agence nationale de la performance sanitaire et médico-sociale (Anap) franchit un nouveau cap dans le soutien aux établissements de santé avec le lancement d’une plateforme numérique unique dédiée à l’optimisation des blocs opératoires. Ce nouvel outil regroupe 22 ressources opérationnelles destin...

Le Health Data Hub dévoile les 17 lauréats de son premier appel à manifestation d’intérêt portant sur le Catalogue du SNDS
07 juil. 2025 - 23:50,
Communiqué
- Health Data HubLe Catalogue du Système national des données de santé (SNDS) fait référence à l’ensemble des bases de données de partenaires qui sont copiées dans l’environnement technique du Health Data Hub dans l’optique de mutualiser les efforts de croisement avec les données de la base principale de l’Assurance...