Contrat d’infogérance informatique et sauvegarde de données

appvizer s’est attelé à décortiquer le contrat d’infogérance informatique, tout un programme !
Que vous soyez un prestataire IT, revendeur/installateur de logiciels, ou une société cliente, cet article est pour vous !

Vous vous demandez comment réaliser un contrat d’infogérance, ce qu’il doit contenir ? Quels sont ses avantages et ses inconvénients ? Ses subtilités ?
Comment ce type de contrat peut s’appliquer à la sauvegarde de données informatiques et les références actuelles sur le marché des solutions SaaS ? 
Autant de questions auxquelles nous tâcherons de répondre ici. 
Avertissement : à la fin de cette lecture, le contrat d’infogérance informatique n’aura plus de secrets pour vous !

Il s’agit tout simplement d’une sous-traitance, d’une externalisation de services.
L’infogérance informatique, ou IT outsourcing en anglais, est une pratique de délégation en tout ou partie du système d’information (SI), sa gestion, son exploitation, son optimisation et/ou sa sécurisation, par des sociétés (de toutes tailles et tous secteurs), à un prestataire extérieur (l’infogérant).

Cela inclut la gestion des ordinateurs, des données, des logiciels, via un contrôle à distance et/ou des interventions physiques régulières (hebdomadaires ou mensuelles selon les besoins).

On parle d’infogérance globale ou partielle, à définir entre le client et le prestataire :

• la gestion du parc informatique d’une infrastructure ;
• l’infogérance applicative : la gestion des logiciels et progiciels dont le client reste propriétaire (ERP, CRM,…) ;
• l’infogérance de fourniture d’applications : la gestion des logiciels et progiciels dont le client n’est pas propriétaire (location, abonnement) ;
• l’infogérance d’externalisation globale : tout ce qui a été mentionné ci-dessus.

L’infogérance peut concerner :

• l’installation de matériel informatique,
• la maintenance :
  • préventive (surveillance et sécurisation) 
  • curative (correction de bugs et d’anomalies),
  • évolutive (amélioration du parc existant), 
• le dépannage,
• l’hébergement de sites,
• le support technique,
• le stockage, la sauvegarde des données,
• le conseil informatique, 
• l’audit informatique.

Parmi les ressources matérielles et logicielles qui composent un système informatique, on compte :

• les tablettes, 
• les smartphones, 
• les serveurs, 
• la solution de sauvegarde des données, 
• les routeurs, 
• le réseau interne, 
• les équipements d’impression, 
• les équipements télécoms, 
• les équipements de sécurité.

• Concentration sur son activité propre, son savoir-faire, son cœur de métier,
• Réduction des coûts par rapport à l’embauche d’un informaticien en interne,
• Économie sur les frais indirects (postes électricité, télécom et IP),
• Véritable collaboration avec des prestataires experts en informatique,
• Vecteur de transformation, d’amélioration des performances et des processus,
• Flexibilité face à des évolutions importantes (innovations, réglementations, etc.)..

L’externalisation informatique peut poser des problèmes en termes de droits d’auteur et de propriété intellectuelle.
Il est parfois obligatoire de demander à un fournisseur de logiciel, comptable par exemple, l’autorisation de modifier ou d’installer son logiciel sur une autre machine, avant de conclure le contrat d’infogérance.
Il est de plus en plus fréquent que les prestataires proposent leurs services sous réserve d’un audit de contrôle et de vérification en amont.

Certains impactent à la fois le client et le prestataire informatique. On recense les risques :

• liés à la sous-traitance : notamment si elle ne permet pas de respecter les contraintes légales et sécuritaires exigées par un secteur d’activité spécifique (secteur bancaire, secteur médical, etc.) ;
• liés au choix du prestataire : il ne faut pas hésiter à récuser le contrat si le prestataire s’avère incompétent (non-respect du cahier des charges) ou n’assure plus les prestations convenues ;
• liés à la localisation des données : les lieux d’hébergement (site principal, sites de secours, sites de sauvegarde…) doivent répondre à des normes (les protections des données ne sont pas aussi strictes aux États-Unis qu’en France, surtout depuis la mise en place du RGPD) ;
• juridiques : la responsabilité du client peut être mise en cause lorsque le prestataire ne respecte pas la législation ;
• de diffusion de l’information : les conséquences sont toujours supportées par le client mais il pourra demander une indemnisation au prestataire ; 
• liés à la mutualisation des hébergements : si plusieurs services sont hébergés sur un seul et même serveur par un prestataire qui rationalise ainsi ses ressources, cela peut engendrer :
  • une perte de disponibilité des données,
  • une perte de confidentialité : en cas de croisements d’information,
  • une perte d’intégrité (incompatibilité en cas de changement de logiciel, ou d’attaque, les données deviennent illisibles).

Plusieurs phases :

1. Étude d’opportunité et de faisabilité par le client,
2. Prise de décision et rédaction d’un cahier des charges,
3. Lancement d’un appel d’offres, ou short listing de plusieurs infogérants,
4. Réception des propositions des prestataires,
5. Choix du prestataire,
6. Audit technique et juridique,
7. Mise en place du contrat d’infogérance et signature,
8. Transfert de responsabilité partiel ou total entre le client et le prestataire,
9. Mise à niveau du contrat si des ajustements sont nécessaires,
10. Phase opérationnelle,
11. Échéance du contrat, à l’initiative de l’une ou l’autre des parties,
12. Modalités de fin de prestations d’infogérance et de réversibilité.

Le client prépare un document pour le prestataire contenant :

• la présentation de la société (différents sites, interlocuteurs dédiés au suivi de la prestation, etc.),
• la présentation du secteur et de ses spécificités en termes de réglementation,
• le parc informatique (réseau, serveurs, postes, utilisateurs, etc.),
• les contraintes (dates, planning, budget),
• les prestations recherchées (maintenance corrective, curative, évolutive, les trois, sauvegarde informatique, etc.) et leurs périmètres,
• l’accompagnement souhaité (support, formation…), 
• les évolutions envisagées,
• un résumé en une page de tous ces éléments.

Le prestataire peut ensuite faire une proposition ou répondre à l’appel d’offres en conséquence.

Comme tout contrat, le contrat d’infogérance informatique est complexe.
C’est un contrat de service très technique qui contient des clauses basiques et des clauses spécifiques. Il est rédigé par le prestataire.
Il est recommandé aux deux parties de se faire assister par un avocat compétent pour la rédaction et la conclusion de ce type de contrat, ou en cas de litige pendant son exécution. 
La durée est toujours pluriannuelle et peut aller jusqu’à plus de 10 ans.

Si l’infogérant s’engage sur une prestation, le client s’engage quant à lui à donner tous les accès aux matériels, aux données et aux informations indispensables au bon déroulement de cette prestation, et de vérifier qu’il n’y ait pas de problème de respect de propriété intellectuelle avec certains éditeurs de logiciels.
En cas de mise en œuvre de la réversibilité, le prestataire a un devoir de conseil et d’information, et le client, une obligation de collaboration.

• la définition du client et du prestataire,
• les obligations des parties, ou obligations réciproques,
• les conditions de durée, de renouvellement et de résiliation du contrat,
• les assurances,
• le coût,
• les modalités de paiement et de révision du prix,
• une clause de cession des droits (propriété intellectuelle, droits d’auteur, etc.), si besoin,
• les clauses de responsabilité.

Il faut mentionner (pour le prestataire) ou vérifier (pour le client) ce qui est inclus. Selon les besoins et les budgets, cela peut faire une différence.

Parmi les clauses spécifiques :

• le maintien en conditions opérationnelles du système informatique, réseaux et télécoms,
• l’amélioration de la performance de ce système,
• l’assistance et la formation des utilisateurs, de l’administrateur,
• le conseil,
• la veille technologique,
• le reporting sur les améliorations promises, l’analyse des performances,
• la délégation de personnel (en cas de développement d’un nouveau projet informatique ou d’un besoin ponctuel),
• la confidentialité et la sécurisation des données.

Pour tous ces points, mentionnez ou vérifiez :

• Le périmètre de prestations (les éléments du parc informatique inclus par exemple) ;
• Les spécificités d’interventions :
  • les délais,
  • les intervenants (nombre, intervenants dédiés ou aléatoires),
  • les moyens (hotline, déplacements),
  • les jours et les horaires couverts,
  • les contacts (email, téléphone, etc.) ;
• Le matériel :
  • la réparation ou le remplacement de matériel inclus ou en sus,
  • si payants : les délais et les prix.
• L’obligation de résultats ;
• Le plan de réversibilité : l’entreprise peut reprendre la gestion et la maintenance partielles ou totales de son parc informatique, contre dédommagement en général.

Syntec informatique, Chambre Professionnelle des Sociétés de Conseil et de services informatiques, des Éditeurs de Logiciels et des sociétés de Conseil en Technologies, propose un guide contractuel concernant le modèle SaaS (Software as a Service) et évoquant la clause de réversibilité à l’article 19 (modèle pdf ici).

D’après une étude réalisée par les Échos en janvier 2013, l’infogérance s’est fortement développée grâce aux services de cloud computing.
L’engouement pour l’infogérance cloud touche aussi bien les services informatiques, comme la sauvegarde ou le stockage de données, que la gestion de la relation client ou la gestion de projet, etc.
On parle de tierce maintenance applicative (TMA) lorsque l’infogérant travaille en partenariat avec des éditeurs de logiciels. 

Beemo Data Safe Restore est spécialiste des sauvegardes locales et distantes, et travaille exclusivement avec des prestataires IT et des revendeurs agréés.
Il garantit aux TPE et PME :

• la sécurité, la confidentialité, l’intégrité des données sauvegardées (cryptées, compressées),
• la restauration des données et surveillance 24 h/24, 7 j/7,
• des sauvegardes, une gestion des tâches et des mises à jour automatisées,
• des solutions de sauvegardes évolutives.

Si votre activité est répartie sur plusieurs sites, vous pouvez opter pour Beemo2Beemo, une sauvegarde externalisée en interne, hors du cloud, avec une box Beemo sur chacun de vos sites, qui enregistrent leurs données propres et se synchronisent.

Beemo2Cloud est une solution proposant quant à elle trois niveaux de sauvegarde pour une sécurisation maximale, quels que soient l’entreprise et le volume de données à stocker :

• sauvegarde en local grâce à une Beemo installée sur site,
• duplication des données et hébergement sur des serveurs à Marseille,
• 2^nde duplication et hébergement sur des serveurs à Lyon.

Aussi, l’éditeur s’adapte aux établissements de santé avec Beemo2CloudHDS, agréé par l’ASIP Santé (agence française de la santé numérique), avec trois niveaux de sauvegarde également, mais sur des serveurs gérés par un hébergeur de données de santé (Datacenter Arrow ECS).

Enfin, la formule BeeHive permet aux prestataires certifiés Beemo de s’adresser spécifiquement aux TPE avec une télésauvegarde qui ne nécessite pas de boîtier.

BeBackup est développé exclusivement pour les prestataires informatiques, les revendeurs et les services informatiques d’entreprises, de la TPE au grand groupe.
Il leur permet d’être compétitifs sur l’ensemble du processus de sauvegarde des données, cryptées à la source, compressées et protégées contre tout piratage.

Les prestataires peuvent ainsi sauvegarder les ordinateurs et serveurs de leurs clients :

• sur leur serveur principal,
• sur leurs serveurs secondaires, ou sur les serveurs de BeBackup, après duplication des données,
• les clients peuvent restaurer leurs données en toute autonomie si besoin.

BeBackup met l’accent sur :

• une offre d’hébergement modulable pour aider les prestataires à démarrer ou compléter leur dispositif serveur sans trop d’investissement (hébergement en local chez le client, grâce à un mécanisme de réplication intégré, en datacenter ou chez eux),
• une solution « Client-Serveur » performante où le serveur effectue des tâches intelligentes : échange des empreintes pour optimiser les transferts, contrôles, réplication,
• l’optimisation de la bande passante pour les clients ayant une connexion bas débit,
• une architecture composée de 2 serveurs BeBackup, alternative économique à l’utilisation du RAID (Redundant Array of Independent Disks), ensemble de techniques de virtualisation du stockage.