Contrôle interne et bonnes pratiques limitent les risques de la sous-traitance

Plus que jamais, les risques liés à la sous-traitance informatique méritent d'être encadrés. Le contexte s'y prête, si l'on en juge l'accroissement des offres de services hébergés mais aussi des prestataires s'initiant aux métiers de l'infogérance, de l'externalisation et de l'hébergement. Sans oublier le nombre grandissant d'entreprises utilisatrices qui souhaitent renouveler leurs sous-traitants et exigent d'eux des contrôles et des audits répétés.Face à cet état de fait, l'Afai (Association française de l'audit et du conseil informatique) et l'Ae-SCM (Association pour la promotion des bonnes pratiques de sourcing) ont rapproché deux modèles liés à la prestation de service : la norme de contrôle interne SAS 70 et le référentiel de bonnes pratiques eSCM. Un livre blanc, intitulé “ eSCM et SAS 70 : l'assurance vie du client ”, a ainsi été publié cet été.Le standard SAS 70 a été choisi car il fournit des outils pour auditer la prestation externalisée d'un fournisseur. “ Les exigences de Sarbanes-Oxley ont remis au goût du jour le contrôle interne. Le périmètre de l'entreprise ne s'arrêtant pas à ses portes, le contrôle doit cibler les services externalisés ”, explique Serge Yablonsky, président d'honneur de l'Afai. Cette norme fournit une évaluation indépendante sous forme de rapports codifiés listant l'ensemble des objectifs et des dispositifs de contrôle mis en place. C'est une attestation à faire valoir aux entreprises clientes souhaitant s'assurer de l'efficacité des contrôles internes de leurs prestataires. Enfin, SAS 70 recouvre un “ avantage concurrentiel. Il nous fait gagner un contrat sur trois et peut même nous éliminer si nos rapports ne sont pas assez précis ”, détaille Franck Mahé, directeur de la sécurité chez ADP, prestataire spécialisé dans les ressources humaines.Le processus d'audit ne se limite pas à une norme. Il lui faut également un référentiel de bonnes pratiques sur lequel s'appuyer. Spécialisé dans la gouvernance et l'audit des systèmes d'information, Cobit peut jouer ce rôle, “ mais, pour chaque mission d'externalisation, il faut rechercher les tests et les objectifs de contrôle nécessaires à la certification SAS 70 ”, poursuit Serge Yablonsky.

Des référentiels destinés tant aux clients qu'aux fournisseurs

eSCM, lui, est plus adapté au cycle temporel de la prestation externalisée. “ Il commence par la phase d'analyse, avec le sourcing, puis poursuit par le démarrage, l'identification des prestataires, la fourniture de service et, enfin, la récupération du service en fin de contrat ”, précise Hubert Tournier, adjoint du DSI du Groupement des Mousquetaires.Plutôt récent (sa stabilisation date de cinq ans), eSCM présente plusieurs originalités. A travers deux référentiels distincts, il s'adresse à la fois aux clients de l'externalisation IT et à ses fournisseurs. Il délivre un niveau d'aptitude de l'organisation échelonné en quatre paliers. Il faut pour cela balayer une dizaine de domaines d'aptitude, lesquels renferment les bonnes pratiques. Enfin, eSCM définit une vingtaine de thèmes critiques parmi lesquels le sourcing, la finalité d'un service (et pas seulement son exécution), ou encore la transition d'un fournisseur vers un autre.