Outsourcing et SLA
Externalisation de services informatiques

Introduction

Les prestations d'outsourcing
Selon ITIL, l'outsourcing ou externalisation consiste à utiliser un fournisseur de services externes pour gérer les services informatiques.

Dans le but de maîtriser les risques liés à cette externalisation, les partenaires (l'entreprise qui outsource et le prestataire) doivent mettre en place et gérer des règles et des mesures de contrôle qui se regroupent autour des 4 instruments essentiels suivants :

Le contrat d'outsourcing
Le contrat est (selon ITIL) un accord exécutoire légal entre deux parties ou plus qui a pour principal but de décrire l'étendue de l'externalisation et les responsabilités de chaque partenaire.  

Les SLAs

Un SLA (service level agreement ou accord sur les niveaux de service) est (selon ITIL) un accord entre un fournisseur de service informatique et un client. Le SLA décrit le service informatique, documente les cibles de niveau de service et spécifie les responsabilités du fournisseur de service informatique et du client. Un seul SLA peut couvrir plusieurs services informatiques ou plusieurs clients.

A l'aide de métriques fournies par le prestataire, le client peut apprécier le niveau de respect des accords convenus dans les SLAs.


La politique de sécurité informatique, des systèmes d'information

Tant le client que le prestataire doivent avoir une politique de sécurité informatique, si possible basée sur une norme, par exemple la norme ISO/IEC 27001. Cet aspect est important pour le prestataire, car il démontre ainsi sa volonté de protéger efficacement les données de ses clients. 

L'audit du prestataire
Chaque client doit considérer dans son SCI (système de contrôle interne) les contrôles mis en place par le prestataire, respectivement doit installer des contrôles compensatoires en cas de faiblesses des contrôles du prestataire. Mais pour être en mesure de connaître les forces et les faiblesses des contrôles du prestataire, un organisme indépendant doit les auditer et, en accord avec le prestataire, le client doit pouvoir prendre connaissance des résultats de l'audit.

Le client ne peut pas déléguer les contrôles au prestataire, il ne peut que les lui assigner.

--------------------------------------------------------------------------------
Copyright © 2009 Aud-IT Sàrl Geneva All rights reserved

Sites utiles
CERT
SANS
MELANI