Outsourcing IT : les normes, vecteur de confiance

Philippe Dann, Head of Risk and Business Advisory, EBRC
par A. Keilmann 02/03/2020
Banque, Assurance & Fintech
Santé et Sciences de la Vie
Secteur public & Institutions européennes
Défense & Spatial
Technologie et Editeurs logiciels
Energie, Logistique & Industrie

Rencontre avec Philippe Dann et Jean-François Hugon, respectivement Head of Risk & Business Advisory et Head of Marketing au sein d'EBRC. Ils abordent l'importance des certifications détenues par la société spécialisée dans la gestion de l'information sensible, ainsi que les avantages qu'elles lui confèrent et dont bénéficient les clients d’EBRC, entre standardisation et relation de confiance.

"L'ambition d'EBRC est de se positionner comme un centre d'excellence en Europe dans la gestion et la protection des données sensibles", explique tout d'abord Philippe Dann, avant de poursuivre : "Pour ce faire, nous avons enclenché plusieurs mécanismes et avons notamment opté pour une stratégie d'obtention de certifications. De la création de nouveaux services à l'intégration, en passant par la gestion de l'information sensible, chaque branche et activité d'EBRC est aujourd'hui couverte par des certifications bien spécifiques". Cette démarche de certifications accrues s'inscrit également dans la stratégie d'amélioration constante et continue promue par EBRC et ses experts, selon le principe de la Roue de Deming, ou le PDCA – Plan, Do, Check, Act.

Naviguer dans des environnements toujours plus régulés

Ces différentes normes et certifications étant régulièrement auditées, elles représentent une garantie probante pour les clients et prospects d'EBRC, démontrant d'une manière formelle la qualité et le savoir-faire des prestations offertes par l’entreprise luxembourgeoise. De plus, les audits externes effectués par les organismes certifiants représentent un gain de temps significatif pour les clients : cette démarche poussée de certification renforce la confiance au sein d’un environnement toujours plus digital et réglementé, notamment avec le GDPR. "L'arrivée prochaine de la directive NIS va également avoir un impact : elle va obliger les sociétés à mettre en place des contrôles effectifs. Avec les certifications actuelles, EBRC est d'ores et déjà en mesure d'effectuer de tels contrôles et de prouver qu'elle répond aux attentes des régulateurs", commente Philippe Dann. Il s'agit dès lors d'aspects clés dans le développement international d'EBRC et dans son positionnement en tant que "centre d'excellence européen". Les certifications, qui font office de véritable "carte de visite", démontrent les capacités de la société à respecter ces standards bien spécifiques. "Nous évoluons dans des domaines tels que la finance ou la santé avec des statuts spécifiques, respectivement PSF (Professionnel du Secteur Financier) au Luxembourg et HDS (Hébergeur de Données de Santé) en France, nous obligeant à opter pour des certifications et normes inhérentes à la règlementation du secteur. Pouvoir accéder à un marché règlementé et améliorer la qualité des réponses et prestations, tel est également l’intérêt d’une démarche de certification. Je pourrais citer à titre d’exemple l’eIDAS : Le règlement eIDAS concerne principalement les organismes du secteur public et les prestataires de services de confiance établis sur le territoire de l’Union européenne. Il instaure un cadre européen en matière d’identification électronique et de services de confiance, afin de faciliter l’émergence du marché unique numérique. Il couvre notamment le sujet de la signature électronique, et abroge la directive 1999/93/CE. L’ANSSI est l’un des organismes nationaux chargés de la mise en œuvre de ce règlement. En bref, elles permettent de faire sauter les barrières que nous pourrions retrouver à l'entrée et assurent aux clients et acteurs d’un écosystème que nous parlons le même langage. Ces certifications en cascade donnent une garantie supplémentaire dans la mesure où elles sont régulièrement auditées. Finalement, elles démontrent la maturité d’un savoir-faire que nous avons modélisé en processus. Les phases d’audits facilitent l’amélioration continue de nos services, ce qui s’inscrit parfaitement dans notre démarche pour délivrer des services de confiances « Trusted Services » et qui contribue activement à la cyber-résilience", ajoute Jean-François Hugon. Le Head of Marketing insiste également sur le bénéfice des certifications aux profit des prestataires de service comme EBRC, qui sont imposées autant par les futurs clients qui recherchent une solution que par les régulateurs, au niveau international.

Enfin, comme le soulignent les deux experts, cette stratégie de certifications permet avant tout de maîtriser la qualité des services en interne, chacune d'entre elles apportant un cadre bien précis avec des obligations à respecter et améliorant, in fine, la structuration des services en optimisant le cadre de travail qui permettra aux différentes parties-prenantes de gagner du temps. "Les normes obligent à se structurer et améliorent la communication en interne. Les rôles de chacun doivent être définis alors que des KPI – Key Performance Indicators – mais aussi des KRI – Key Risk Indicators – doivent être mis en place. Un exercice qui peut s'avérer délicat mais qui n'en reste pas moins crucial", ajoute Philippe Dann. D'ailleurs, la certification ISO 20000 dont bénéficie EBRC insiste sur ce point. Elle spécifie les exigences destinées au fournisseur de services pour planifier, établir, implémenter, exécuter, surveiller, passer en revue, maintenir et améliorer un Système de Management des Services, de la conception à l'amélioration des services. "Aujourd'hui, mieux connaître ses processus, c'est également prévoir et anticiper. Deux éléments clés dans un monde où l'incertitude est quasi constante", ajoute le Head of Risk and Business Advisory.

Les certifications, au centre de la stratégie d'EBRC

"EBRC compte aujourd'hui plus de 70 certifications et awards internationaux, qui, combinés, permettent aux clients d'évaluer nos performances et nos services, voire même nos bonnes pratiques ainsi que notre stratégie", commente Jean-François Hugon.

La certification ISO 9001, liée aux systèmes de gestion de la qualité, permet la définition de standards entrant dans le cadre global de la société : elle inclut les exigences pour la conception, le développement, la production et le SAV des produits. "Une certification qui pose les jalons, qui sert de fondation", selon Philippe Dann. Quant à la norme ISO 20000, comme abordé précédemment, elle est orientée sur la gestion et l'organisation des services informatiques, entre processus, rapports, relation clients, helpdesk ou encore incidents. La continuité des opérations est assurée via la certification ISO 22301 : il s'agit de la définition des processus permettant de s'assurer qu'en cas de désastre technique ou humain, la société sera à même de fournir les services à ses clients. Une forte orientation sécurité et gestion du risque est assurée par la norme ISO 27001 : ces aspects doivent être gérés en amont, dès la conception ou la mise en place d'un nouveau service ou produit. "On y retrouve la notion Trusted, chère à EBRC," ajoutent les experts. EBRC bénéficie également de la certification ISO 27018, qui concerne la protection des données personnelles dans le cloud. Trois sources sont à considérer afin de vérifier les exigences de sécurité : l’environnement légal, réglementaire et contractuel, l’évaluation des risques mais aussi les références internes à l’entreprise.

Actif dans le secteur de la santé dans l'hexagone, EBRC est également certifié HDS – Hébergeur de Données de Santé – et peut ainsi offrir ses services aux acteurs dans la gestion des données sensibles et personnelles. Comme l'explique le Head of Risk and Business Advisory, "il s'agit d’une certification de nos services Data Centre dans nos data centres Tier IV,". Afin d'accompagner ses partenaires du secteur financier offrant des services de paiements par carte bancaire, EBRC répond aussi à la norme PCI DSS (Payment Card Industry – Data Security Standard) Level 2.

Avec ses 5 data centres au Luxembourg EBRC met un point d'honneur à œuvrer à la protection de l'environnement. Cet aspect "Green IT" est défini à travers la norme ISO 14001, comprenant la planification et la mise en place d'actions pour respecter cette politique environnementale, mais aussi la norme ISO 50001 qui concerne les performances énergétiques et qui promeut une gestion efficace de l'énergie. Certifiés Tier IV, ces data centres ont été conçus dans l'optique d'assurer les plus hauts standards de continuité. "La certification prévoit un taux de disponibilité de 99,995%, correspondant à moins de 26 minutes d'arrêt cumulé par an. Le data centre doit ainsi être autonome dans sa gestion et sa capacité de réponse aux incidents", précise Philippe Dann.

 

Pourquoi – et comment – externaliser ses activités IT ?

Pour le Head of Risk and Business Advisory d'EBRC, "il est crucial de se pencher sur ses processus internes avant même d'externaliser. Ensuite, le choix du fournisseur est tout aussi important : celui-ci passe par une étude et doit résulter en une relation de confiance. C'est à ce moment que les certifications entrent en compte". Les équipes Business Advisory ou IT Transformation recueillent tout d'abord les besoins clients avant de mettre en place une stratégie, avec un plan d'action, qui sera par la suite implémenté.
Philippe Dann et Jean-François Hugon partagent alors leurs recommandations quant au choix d'un fournisseur de services IT : "Tout d'abord, nous conseillons de débuter par un audit interne afin de mesurer le niveau de maturité de l’entreprise en vue d’une externalisation. Par la suite, des workshops peuvent être animés par des experts d'EBRC". Selon eux, les sociétés peuvent également envisager une certification et décrire leurs processus en se basant sur un framework connu, ce qui permettra de faciliter la transformation et la migration vers l'outsourcing. "La création du cahier des charges et l'identification des KPIs suivront. Ces derniers, indicateurs métier et business, doivent être alignés avec la direction générale. Certains doivent être techniques, alors que d'autres s'intéressent à la satisfaction des employés avec un focus sur l'utilisabilité", expliquent-ils. Le fournisseur, de son côté, dans un souci constant d'amélioration de la relation client, veille à apporter de nouvelles solutions innovantes, anticipant ainsi et répondant aux besoins futurs : une fois choisi, le fournisseur sera intégré dans la chaine de valeur du client. "Par la suite, les sociétés doivent évaluer les gains possibles d'une éventuelle migration vers l'outsourcing : financiers, qualitatifs et business. Sans oublier les potentielles pertes, notamment de contrôle. Ainsi, la notion de stratégie prend tout son sens : s'agit-il d'un métier stratégique ou pas ? La réponse déprendra du client, de son activité mais aussi de sa maturité," ajoute Philippe Dann.

Sa démarche poussée de certifications, EBRC ne l'oppose en rien à l'agilité requise pour naviguer dans l'environnement actuel, digital et changeant. Si les certifications imposent un cadre, elles apportent une vraie valeur ajoutée, flexible et pragmatique selon les besoins des métiers clients. Pour être efficaces, elles doivent également être compréhensibles des gens qui les appliquent. Selon Jean-François Hugon et Philippe Dann, "c'est la combinaison de ces aspects qui font que les normes vivent avec la société". Si la mise en place de celles-ci peut s'avérer délicate de prime abord, elles apporteront par la suite des gains significatifs aux entreprises, tout en en faisant bénéficier leurs utilisateurs finaux.