E-Sourcing Capability Model : futur référentiel pour l'externalisation ?
L'externalisation est une pratique devenue courante pour une DSI. Mais, tout aussi courants sont les problèmes et les frustrations engendrés par ce genre d'opération. Alors, existe-t-il un moyen d'améliorer la réussite de ces projets ?
A l'heure où les Directions des systèmes d'information ont pour objectif de réduire et contrôler les coûts, l'outsourcing, ou l'externalisation de certains services informatiques, reste une solution tactique pour y parvenir. Ainsi, les offres d'infogérance, qui ont connu un essor considérable dans les années 2000, affichent toujours des chiffres en augmentation continue. Malgré la récession qui a sévi ces deux dernières années, le marché de l'infogérance et de la TMA (Tierce Maintenance Applicative) a connu un rythme de croissance stable en 2009, à environ 8-9%[1]. Qui plus est, d'autres services apparaissent, poussés par la plupart des éditeurs ou sociétés de services. Des offres de virtualisation, Cloud Computing ou SaaS commencent à se développer fortement. Nous pouvons donc nous attendre à une poursuite des activités d'externalisation.
Cependant, externaliser représente un certain risque puisque la DSI ne maîtrise plus la totalité de son système, et cela peut avoir un impact, notamment en termes de qualité de service. Il devient ainsi nécessaire pour la DSI de pouvoir garantir une qualité de service optimale à ses utilisateurs tout en opérant des changements radicaux dans son architecture et en confiant une partie de ses services à une entreprise tierce. Cette question est d'autant plus importante que la DSI se trouve tiraillée entre son rôle de client par rapport aux sociétés extérieures et son rôle de fournisseur auprès des utilisateurs internes.
Des solutions existent, comme l'utilisation de contrats d'outsourcing qui formalisent la relation client/fournisseur, et permettent de décrire les niveaux de service offert au client ainsi que les pénalités en cas de non respect des engagements de qualité de services.
Malgré de nombreuses années de pratique, la frustration des entreprises ayant opéré une externalisation informatique est toujours présente et on constate toujours quelques dérives, d'après une étude citée dans 01 Informatique[2]. Il paraît clair aujourd'hui que la réussite d'un tel projet repose sur un pilotage serein de la relation client fournisseur. La question qui se pose alors est de savoir quelles bonnes pratiques déployer pour renforcer cette relation.
Quid du référentiel e-SCM ?
Le e-SCM est un référentiel développé depuis 2001 par l'ITSqc (Information Technology Services Qualification Center) de la Carnegie Mellon University, université qui est à l'origine du CMM (Capability Maturity Model). L'objectif de ce référentiel est de fournir un ensemble de bonnes pratiques pour gérer une relation entre un client et ses fournisseurs dans le cadre de la fourniture de services IT. Il peut s'appliquer à des activités variées comme l'infogérance, l'externalisation ou la tierce maintenance applicative. Il se décline en deux modèles qui fonctionnent en miroir[3] :
- e-SCM-CL (Clients) : guide destiné aux clients
Le référentiel se compose d'un modèle, d'une méthode d'évaluation de la capacité et d'un cursus de certification pour les individus et les organisations.
e-Sourcing : de 2000 à nos jours
Dans les années 2000, les activités d'externalisation ont connu une véritable explosion, avec plus ou moins de succès. Plusieurs études ont été menées par différents cabinets (Gartner, BusinessWire, Ozanne) pour analyser les difficultés majeures rencontrées lors de ces projets. L'ITSqc a recensé ces études et publié une liste de 23 facteurs critiques de succès pour la réussite du e-sourcing, qui peuvent être regroupés dans les 5 catégories suivantes :
- réponse aux attentes du client, confiance et qualité de la communication,- création de contrats précisant les niveaux de service attendus,
- réponse aux problématiques de sécurité et de règlementation,
- gestion du changement et du transfert de connaissances chez le client,
- maintien des services sans coupure lors d'une transition.
Cependant, les entreprises ont été de plus en plus nombreuses à externaliser, et ont essayé de mettre en œuvre plusieurs bonnes pratiques basées sur des référentiels existants (Six Sigma/TQM, ISO 9001, CMMi, ITIL, CobIT). La nécessité d'utiliser un modèle spécifique au sourcing s'est rapidement faite sentir et a abouti à la publication des modèles e-SCM, principalement pour trois raisons essentielles :
- donner aux fournisseurs de service des règles qui les aident à améliorer leur aptitude tout au long du cycle d'externalisation,
- donner aux clients une méthode objective pour évaluer l'aptitude d'un fournisseur de service,
- donner un avantage compétitif aux fournisseurs de service qui utilisent ce standard
Aujourd'hui e-SCM a atteint une certaine maturité. Il est publié dans sa deuxième version (e-SCM SP v2), et fonctionne à l'instar du CMM pour évaluer la maturité d'une organisation dans le cadre de l'externalisation.
En France, l'association Ae-SCM, soutenue par le Cigref et l'Itsmf, a pour but de favoriser la diffusion et l'adoption du référentiel e-SCM par les entreprises, et en particulier sur l'accompagnement de l'externalisation auprès des DSI. Les sponsors de cette association sont des sociétés de conseil et des SSII telles que Devoteam, Sogeti, Neurones, Orsyp, CG2 Conseil, Computacenter, Solucom, Sextant, e-sourcing partners, HCL, ITManagement partners, TIMSpirit, Silogism...
La définition du e-sourcing que donne cette association est la suivante. "Le terme d'eSourcing se rapporte à l'externalisation des systèmes d'information. Autrement dit, il désigne la fourniture de services dont les technologies de l'information constituent le cœur. Ces services peuvent également être fournis à distance, en s'appuyant sur les télécommunications et les réseaux de données (BPO, ASP et SaaS). Ils s'étendent de la simple tâche opérationnelle à la prise en charge de services stratégiques pour le métier, avec un impact direct sur les profits de l'entreprise. Ainsi, ces services incluent notamment la maintenance des micros, le support des datacenters, la gestion des applications, et la conception de produits ou de services."
Le modèle e-SCM
Ce référentiel est construit sur un modèle à trois dimensions que sont le temps (cycle de vie), les aptitudes (bonnes pratiques) et leurs niveaux de maturité (5 niveaux).
Côté fournisseur, il comporte 84 bonnes pratiques réparties en 10 domaines alors que côté client il compte 95 pratiques regroupées en 17 domaines.
le cycle de vie
Le cycle de vie d'un service de sourcing comporte les trois étapes majeures qui rythment la relation client/fournisseur (Initiation, Delivery, Completion), les pratiques permanentes de cette relation (Ongoing) pour le fournisseur, ou d'aide à la décision pour l'externalisation (Analyse) pour le client.
Les aptitudes
Il s'agit de l'ensemble des fonctions nécessaires à la réalisation efficace d'une opération d'externalisation. Ces fonctions sont ensuite décomposées en bonnes pratiques organisées selon les étapes du cycle de vie.
La nouveauté de ce référentiel est sans doute d'avoir organisé ces bonnes pratiques en miroir pour le fournisseur (eSCM-SP) et pour le client (e-SCM-CL). Le deuxième atout majeur est qu'il couvre certains aspects de la relation client/fournisseur qui n'étaient pas abordés par d'autres référentiels.
Nous pouvons par exemple citer la fonction de Service Transfer (tfr) qui recouvre tous les aspects du transfert d'activité d'un client à son prestataire, et notamment le transfert de compétences, qui garantit au client la maîtrise des services fournis après terminaison du contrat.
Le dernier édito de l'Ae-SCM propose une déclinaison de ces bonnes pratiques en fonction des problématiques de la DSI : maîtrise des coûts, transfert de compétences, réversibilité ou Green IT peuvent ainsi traités sous couvert des bonnes pratiques e-SCM.
Niveaux de maturité
Le modèle e-SCM-SP fournit également une représentation issue du modèle CMMI en niveaux de maturité pour évaluer le niveau de service offert
Le niveau 1 assure la livraison basique du service. Le niveau 3 correspond à une maîtrise de la performance du prestataire de service pour garantir le respect de ses engagements. Le niveau 5 assure que le prestataire sait « maintenir et soutenir l'excellence ».
Comme pour le CMMI, le grand pas à franchir pour un prestataire est de passer du niveau 2, où se situe généralement une entreprise de services sérieuse et raisonnablement organisée, au niveau 3 où toutes les pratiques recommandées sont mises en oeuvre.
Un prestataire peut réaliser des évaluations internes de ces pratiques, pour se « noter » selon le modèle e-SCM. Mais s'il veut s'en prévaloir auprès de ses clients, il doit passer par un processus de certification qui fait intervenir un organisme tiers, un peu comme une certification ISO. Ce mécanisme de certification n'est pas encore opérationnel en Europe.
e-SCM Vs les autres référentiels
Le référentiel e-SCM est très proche de la philosophie du référentiel ITIL, à la différence près qu'ITIL est perçu comme un référentiel destiné à la production (interne à la DSI), alors qu'e-SCM est résolument orienté vers les pratiques d'externalisation.
Il existe aussi d'autres référentiels qui font appel à la gestion de la relation client-fournisseur. Le document édité par l'ITSQC propose une analyse comparative de son référentiel e-SCM par rapport aux autres référentiels.
Il ressort de cette étude qu'e-SCM est un référentiel transverse et qu'il apporte une complémentarité assez forte. Si CobiT reste la référence pour le pilotage du SI, CMMi pour les équipes d'étude et développement et ITIL pour la production de services SI, e-SCM reprend une bonne partie de ces pratiques pour la DSI dans un contexte d'externalisation.
Mieux encore, il propose au fournisseur de service les bonnes pratiques qui lui permettent de répondre au mieux aux attentes du client. Ainsi, d'après l'ISTQC, la valeur ajoutée du e-SCM est évidente dès qu'il s'agit d'externalisation. Mais qu'en est-il dans la réalité ?
La maturité des entreprises en France
D'après les études publiées par l'Ae-SCM, le référentiel a été adopté de manière confidentielle en France. Promu initialement par La Poste, il a été déployé dans les DSI de deux autres entreprises, Les Mousquetaires et Sanofi-Aventis[4].
Une étude, menée fin 2009 par le cabinet Solucom et l'Ae-SCM auprès de décideurs de grandes entreprises, semble montrer une adoption croissante depuis deux ans. Cette enquête met en évidence que les pratiques permanentes (ongoing) ne sont pas encore matures, sauf dans le cas de la gestion des technologies et des risques, alors que les pratiques liées au cycle de vie de l'externalisation sont plus répandues.
Le dernier rapport du CIGREF ("Référentiels de la DSI », Octobre 2009 ) sur l'adoption des bonnes pratiques met toutefois un bémol, en faisant apparaître e-SCM parmi les trois référentiels les moins utilisés par les DSI, loin derrière ITIL (production), ISO 27001 (sécurité), CobIT (gouvernance), CMMi (développement), PMBOK (gestion de projet) et ISO 9001 (qualité). Il note également que 44% des DSI utilisent des référentiels de gestion des achats internes à l'entreprise, et 44% des DSI n'utilisent aucun référentiel dans la gestion de la relation client-fournisseur.
Il semblerait que la clef de l'adoption d'e-SCM soit avant tout dans les mains des grands comptes. Si les donneurs d'ordre réclament ce référentiel, les prestataires devront s'y soumettre, d'autant que leurs concurrents internationaux l'utilisent déjà !
Des atouts, mais aussi des freins pour e-SCM
A la lumière de ce que nous avons montré précédemment, la question qui se pose aujourd'hui est de savoir comment e-SCM parviendra à s'imposer en France sur le marché informatique de l'externalisation. Pour cela, essayons de résumer ses avantages et inconvénients.
L'objectif principal du référentiel est de fournir un mode d'évaluation de la capacité d'un prestataire à répondre à la demande d'une DSI en matière d'externalisation. Ensuite, la spécialisation du référentiel e-SCM permet d'instaurer un langage commun entre clients et fournisseurs.
Mais encore, s'il gère les problèmes de réversibilité ou de sortie anticipée de contrat, il facilite la transition du contrat d'un prestataire à un autre, via la fonction prévue de service transfer [5].
Enfin, ce référentiel étant un standard mondial, il est répandu dans des pays pratiquant fortement l'externalisation comme l'Inde : la première société ayant atteint la certification au niveau 5 est d'ailleurs une SSII indienne, Nipuna. Cet aspect permet donc de sécuriser les prestations off-shore.
Parmi les inconvénients que nous pouvons identifier, le principal réside dans sa jeunesse[6]. Ce référentiel n'a été déployé dans sa deuxième version fournisseur qu'en 2006, et encore plus tard en version client. Il est donc bien plus jeune que des référentiels plus éprouvés comme ITIL, CobIT ou CMMi et peut être vécu comme un référentiel supplémentaire.
D'autre part, il est essentiellement utilisé par des sociétés majeures du secteur, et le risque majeur pour une adoption plus complète réside dans le fait que les prestataires ne semblent pas pressés d'être comparés sur une même grille.
Enfin, l'autre inconvénient de cette méthode est qu'elle décrit ce qu'une entreprise doit vérifier (client) ou mettre en place (fournisseur), mais elle ne décrit pas comment les bonnes pratiques doivent être déployées.
Une possible évolution pourrait venir de la manière dont e-SCM a été adopté par le DSI de Sanofi-Aventis[7]. Au lieu d'être utilisé comme un référentiel de maturité pour des fournisseurs externes, il a été utilisé pour évaluer le niveau de maturité de la DSI en tant que fournisseur de service en donnant des résultats très encourageants. En effet, à une époque où des relations contractuelles se mettent en place entre la DSI et l'entreprise, il est fort probable qu'un référentiel comme e-SCM apporte une mesure pertinente de la performance de la DSI.
[1] Etude XERFI 700, "Services Informatiques", Mars 2009
[2] "e-SCM examine l'aptitude à l'infogérance", O. Discazeaux, 01 Informatique n°1806, 22 mars 2005
[3] "The eSCM-SP v2.01: Model Overview", Elaine Hyder, Keith Heston, Mark Paulk, ISTQC
[4] "e-SCM veut pacifier la relation client-fournisseur", R. Fléchaux, MagIT, 2 septembre 2008
[5] "Les pratiques du sourcing IT en France", enquête SOLUCOM, janvier 2010
[6] Etude CIGREF, "Référentiels de la DSI - 2009", Octobre 2009
[7] "e-SCM veut pacifier la relation client-fournisseur", R. Fléchaux, MagIT, 2 septembre 2008