Comparatif des enjeux d’externalisation – partie 2

Le critère stratégique : tout comme la nation peut décider de flécher ses moyens sur l’avion Rafale ou la lutte contre le tabagisme plutôt que sur la production de masques, un décideur peut choisir de se focaliser sur son cœur de métier et un sous-ensemble de fonctions supports. Ça le regarde, c’est un choix, il serait juste préférable qu’il ne s’agisse pas d’un choix « par défaut » : externaliser telle fonction parce que l’on arrive plus à la maintenir en interne.

Le critère humain : externaliser revient à faire évoluer les métiers internes. Quand on produisait et stockait nous-mêmes nos masques, on avait affaire à Josette de la compta et à Marcel de l’entrepôt. Maintenant, on a affaire au patron d’une usine chinoise, à trois interprètes, au décalage horaire, etc. De « faiseurs », on passe à « acheteurs, chargés du pilotage des contrats, auditeurs » (bon courage à ceux qui sont certifiés ISO : la modification du périmètre et l’audit des contrats vont être une vraie partie de plaisir), etc. Ce ne sont pas les mêmes profils, et on ne les forme pas en un mois, sans parler de la question du devenir des agents internes. Éluder cette question majeure conduit à augmenter le risque d’échec du projet.

Le projet opérationnel : une fois la décision prise, passer du monde « interne » au mode « externalisé » constitue un projet en soi, qui peut durer des mois, voire des années, et qui ne se passe absolument jamais sans anicroches. Croire que parce que l’on a signé le contrat, l’affaire est close, c’est se mettre en danger. Et accessoirement, ne pas éluder la question de la réversibilité : un jour, on changera de crémerie, et ceux qui l’ont vécu vous en parleront : c’est toute une poésie.

Le volet financier : en plus des éléments évoqués plus haut (déplacement de la structure de coût, augmentation de la facture globale, etc.), il faut bien garder en tête qu’une fois votre datacenter totalement hébergé en externe, la moindre demande de modification va se payer au prix fort. Demandez un peu à ceux qui ont externalisé leur gestion de bâtiment (ce qu’on appelle un PPP : partenariat public-privé).

Le volet juridique : parmi les profils que vous allez devoir recruter, il y a des juristes de haut niveau. Vous pensez vous débarrasser de ces vieux informaticiens aux lunettes en cul de bouteille et à la chemise sortie du pantalon, votre projet de transfert n’est même pas terminé que vous voyez arriver les factures des avocats, des auditeurs, etc.

Le volet sécurité : c’est certainement là que l’on entend le plus d’âneries, à savoir que l’externalisation sécurise le processus. C’est faux : l’externalisation ne fait que déplacer la matrice des risques. Le risque géopolitique (guerre, etc.) ou de pandémie mondiale n’existait quasiment pas dans la version totalement internalisée de la production et du stockage des boîtes de Doliprane, idem pour l’informatique. Depuis des années, le pays transfère des pans entiers et stratégiques de l’informatique de la nation aux Américains. Sachez juste qu’il suffit à Donald d’un coup de fil et de cinq minutes pour bloquer presque toute l’informatique de la cinquième puissance mondiale, et sans aucun coup férir (si vous ne voyez pas comment, sachez que c’est très simple). Globalement, il faut être sacrément aveugle pour affirmer que l’externalisation du SI, par exemple de ses datacenters, n’a aucun impact sur le PCA/PRA : la seule question de la défaillance opérateur implique de mettre en place des dispositifs coûteux et dont aucun n’est efficace à 100 % (efficacité elle-même difficile à mesurer, les questions des chemins de câbles étant d’une rare opacité).

Enfin, le volet intégration : tout comme l’approvisionnement par une chaîne logistique externe modifie les rapports avec la logistique interne, l’externalisation de tout ou partie du SI pose des questions très complexes de l’interface avec le bout IT qui est forcément resté en interne (eh oui ! il reste des PC, des routeurs, etc.).

Quand Alain Bauer avance[1] que, dans les sociétés modernes, les comptables ont pris le pouvoir sur les stratèges, il entend par là que trop souvent seul le volet financier est traité dans les décisions stratégiques. Or, toute décision d’externalisation, qui est éminemment stratégique, se doit de prendre en compte les sept aspects susnommés, et en particulier la question de la sécurité. Le décideur peut alors, en toute connaissance de cause, décider tout de même de privilégier telle ou telle dimension (le plus souvent, le choix se joue entre la sécurité et les finances) au détriment des autres. Favoriser les aspects financiers est d’ailleurs un calcul tout à fait valable dans certains cas.

Le pire risque n’est pas celui que l’on court, mais celui dont on n’a même pas conscience. En tant que RSSI, le fait qu’un décideur dise « J’ai bien compris la dimension risque de l’externalisation, mais je choisis en connaissance de cause d’externaliser tout de même pour des raisons financières » ne pose aucun problème en termes de processus de prise de décision, du moment que l’on s’est bien assuré d’avoir abordé, instruit et compris les sept facettes précédemment décrites.

[1]   https://www.youtube.com/watch?v=Gmxw9l_EqR0