|

Médico-social : faut-il conserver ses serveurs en interne ?

ParSamuel VERRI

Faut-il encore héberger son informatique en interne ?

La question revient régulièrement dans les associations médico-sociales : faut-il continuer à héberger son informatique en interne ?

Entre la montée des exigences de cybersécurité, la généralisation des solutions cloud comme Microsoft 365, les projets de dématérialisation et les contraintes budgétaires, ce choix est devenu stratégique.

Pourtant, il n’existe pas de réponse universelle. Tout dépend de la taille de la structure, de son organisation et de ses ambitions numériques.

Une association disposant de trois établissements et d’une cinquantaine de salariés n’aura pas les mêmes besoins qu’une organisation de plusieurs centaines de salariés répartis sur de nombreux sites.

La question particulière des données de santé

Les établissements et services médico-sociaux manipulent quotidiennement des données particulièrement sensibles concernant les personnes accompagnées.

Lorsqu’une solution héberge des données de santé à caractère personnel, il est nécessaire de porter une attention particulière aux conditions d’hébergement, aux garanties de sécurité apportées par le prestataire et aux exigences réglementaires applicables.

La certification HDS (Hébergeur de Données de Santé) constitue aujourd’hui une référence incontournable lorsqu’un tiers héberge des données de santé pour le compte d’un établissement ou d’une organisation.

Cette question conduit naturellement de nombreuses associations à s’interroger sur la possibilité de conserver leurs données au sein de leur propre infrastructure.

Peut-on héberger soi-même ses données ?

La question revient fréquemment.

Dans de nombreux cas, une association peut héberger ses propres données au sein de son infrastructure. Cela implique toutefois d’assumer l’ensemble des responsabilités associées : sécurité, sauvegardes, continuité de service, supervision, maintenance et reprise après sinistre.

L’auto-hébergement offre une maîtrise importante des infrastructures et des données, mais il transfère également la totalité du risque sur l’organisation.

Lorsqu’un incident survient, qu’il s’agisse d’une panne matérielle, d’une erreur humaine ou d’une perte de données, la responsabilité de la remise en service repose directement sur l’association et sur son équipe informatique.

Il est donc essentiel d’évaluer la criticité des données hébergées. Les exigences de disponibilité et de sécurité ne seront pas nécessairement les mêmes entre une solution de gestion de parc informatique et un dossier concernant les personnes accompagnées.

Serveurs en fin de garantie : le bon moment pour se poser la question

Le renouvellement des serveurs constitue souvent le moment idéal pour réévaluer sa stratégie d’hébergement.

Plutôt que de remplacer systématiquement l’existant, il peut être pertinent de comparer les différentes options disponibles et d’analyser les coûts, les risques et les bénéfices associés à chacune d’elles.

Plusieurs scénarios sont généralement envisageables :

  • renouveler des serveurs hébergés sur site ;
  • conserver les serveurs sur site tout en externalisant les sauvegardes ou la redondance ;
  • héberger son infrastructure dans un datacenter tout en conservant la maîtrise des équipements ;
  • externaliser complètement l’infrastructure auprès d’un prestataire spécialisé.

Comparatif des principales stratégies d’hébergement

Aucune solution n’est parfaite. Chaque modèle présente des avantages et des contraintes qu’il convient d’évaluer en fonction de la taille de la structure, des compétences disponibles et du niveau de risque accepté.

1. Renouveler des serveurs sur site

Cette approche offre un contrôle maximal sur l’infrastructure et les données.

L’association conserve la maîtrise complète de ses équipements, mais doit également assumer l’ensemble des responsabilités : maintenance, supervision, sauvegardes, continuité de service et renouvellement du matériel.

Cette solution nécessite généralement un investissement initial important lié à l’acquisition du matériel. Elle s’accompagne souvent d’un contrat de maintenance avec une société de services.

2. Conserver les serveurs sur site tout en externalisant les sauvegardes ou la redondance

Cette solution constitue souvent une étape intermédiaire intéressante.

Elle permet de conserver les avantages d’une infrastructure locale tout en réduisant certains risques liés à la perte de données ou à l’indisponibilité d’un site.

La complexité technique reste toutefois importante et nécessite une surveillance régulière.

Cette approche suppose également de disposer de liaisons réseau fiables et suffisamment dimensionnées pour assurer les échanges de données entre les différents sites ainsi que les opérations de sauvegarde ou de réplication.

3. Héberger son infrastructure dans un datacenter tout en conservant la maîtrise des équipements

Les serveurs appartiennent toujours à l’association mais sont hébergés dans un environnement professionnel bénéficiant généralement d’une alimentation électrique sécurisée, d’une climatisation adaptée, d’une connectivité redondée et d’une surveillance permanente.

Cette approche combine souvent un bon niveau de maîtrise avec une amélioration significative de la résilience.

4. Externaliser complètement l’infrastructure

Dans ce modèle, les serveurs et tout ou partie de leur exploitation sont confiés à un prestataire spécialisé.

L’association peut alors se concentrer davantage sur les usages, les projets et la gouvernance du système d’information plutôt que sur l’exploitation technique quotidienne.

Cette solution réduit fortement les contraintes d’administration et de maintenance, mais implique une dépendance plus importante vis-à-vis du prestataire choisi.

Il convient toutefois de préciser que derrière le terme « externalisation » se cachent des réalités très différentes.

Certains prestataires proposent simplement un hébergement en datacenter mutualisé dans lequel l’association conserve la gestion de ses machines virtuelles et de ses applications.

D’autres offrent un niveau de service plus élevé incluant :

  • la supervision de l’infrastructure ;
  • l’administration des serveurs ;
  • la gestion des sauvegardes ;
  • les mises à jour de sécurité ;
  • la supervision des machines virtuelles ;
  • l’assistance en cas d’incident.

Dans les offres les plus complètes, le prestataire peut même assurer une surveillance proactive de l’environnement et intervenir avant que les utilisateurs ne constatent une dégradation du service.

Le choix ne porte donc pas uniquement sur l’externalisation ou non de l’infrastructure, mais également sur le niveau de service attendu et sur la répartition des responsabilités entre l’association et son partenaire.

Un aspect souvent oublié : l’amortissement du matériel

Au-delà des considérations techniques, le mode d’hébergement retenu peut également avoir des conséquences comptables et budgétaires.

Dans les trois premiers scénarios (serveurs sur site, serveurs sur site avec sauvegardes externalisées ou infrastructure hébergée dans un datacenter avec matériel appartenant à l’association), les équipements restent la propriété de l’organisation.

Ces investissements peuvent alors être immobilisés et amortis sur plusieurs années, conformément aux règles comptables applicables à la structure.

Pour certaines associations, cette approche peut présenter un intérêt financier en permettant de lisser le coût des équipements sur leur durée d’utilisation.

À l’inverse, dans le cadre d’une externalisation complète de l’infrastructure, l’association ne possède généralement plus les équipements. Les dépenses prennent alors principalement la forme d’abonnements ou de prestations de services récurrentes.

Cette différence modifie la répartition entre investissements (CAPEX) et dépenses de fonctionnement (OPEX), ce qui peut avoir un impact sur la construction budgétaire et les arbitrages financiers de l’organisation.

Le choix d’une stratégie d’hébergement ne doit donc pas être analysé uniquement sous l’angle technique. Les dimensions financières, comptables et organisationnelles méritent également d’être prises en compte dans la réflexion.

Une alternative : les logiciels en mode SaaS

Le développement des solutions SaaS (Software as a Service) a profondément modifié la manière dont les associations abordent l’hébergement de leurs données et de leurs applications.

Avec ce modèle, l’application n’est plus installée sur les serveurs de l’association. Elle est accessible via un navigateur Internet et hébergée directement par l’éditeur ou son prestataire.

Pour les structures médico-sociales, cette approche présente plusieurs avantages :

  • réduction des investissements matériels ;
  • suppression de certaines contraintes d’exploitation ;
  • mises à jour gérées par l’éditeur ;
  • accès facilité depuis plusieurs établissements ;
  • meilleure continuité de service.

Lorsqu’une solution métier est proposée en mode SaaS, la responsabilité de l’hébergement repose principalement sur l’éditeur ou son hébergeur, tandis que l’association conserve sa responsabilité dans l’utilisation des données et le respect de ses obligations réglementaires. Il appartient alors à l’association de vérifier les garanties apportées concernant la sécurité, la localisation des données et les éventuelles certifications requises.

Cette approche peut également simplifier certaines problématiques liées à l’hébergement de données sensibles. À condition, bien entendu, que les informations médicales ou relatives à l’accompagnement des personnes soient correctement gérées au sein de la solution prévue à cet effet.

Cependant, la réalité du terrain est souvent plus complexe.

Peu d’applications métiers couvrent à elles seules l’ensemble des besoins d’un établissement ou d’un service. On retrouve fréquemment, en complément du logiciel métier, des documents stockés sur des partages de fichiers :

  • évaluations ;
  • comptes rendus ;
  • documents de suivi ;
  • fichiers bureautiques ;

Ces données peuvent parfois contenir des informations sensibles, voire des données relatives à la santé.

Le choix d’un logiciel SaaS ne dispense donc pas d’une réflexion globale sur la gestion documentaire, les espaces de stockage et les pratiques des utilisateurs.

L’enjeu n’est pas uniquement de savoir où est hébergée l’application métier, mais également de maîtriser l’ensemble des lieux où les données sont créées, stockées, partagées et sauvegardées.

Enfin, il convient de rappeler que le coût d’une solution SaaS est généralement différent d’une solution hébergée sur les serveurs de l’association. Si l’investissement matériel et certaines charges d’exploitation diminuent, les abonnements récurrents peuvent représenter un coût plus important sur la durée.

Comme souvent en informatique, la question n’est pas seulement financière. Elle consiste à trouver le bon équilibre entre maîtrise, sécurité, disponibilité des services et ressources mobilisées pour les exploiter.

Mon retour d’expérience

Au sein de notre association, nous avons mis beaucoup de temps à faire un choix éclairé concernant l’hébergement de notre système d’information.

Comprendre les différentes offres du marché, évaluer les enjeux de chaque solution et mesurer les impacts à long terme a représenté un travail conséquent.

La crainte de ne pas faire le bon choix nous a d’ailleurs conduits à prolonger à deux reprises les garanties de nos serveurs afin de nous laisser le temps nécessaire à la réflexion.

À l’époque, notre équipe informatique était davantage réservée sur cette orientation, craignant notamment une perte de maîtrise du système d’information.

Entre notre partenaire historique, qui proposait des solutions ne répondant pas toujours à l’ensemble de nos exigences, et d’autres prestataires proposant des architectures très complètes mais parfois difficiles à justifier financièrement, les discussions ont été nombreuses.

Nous avons longuement débattu afin de déterminer quelle solution correspondait réellement à nos besoins, à nos contraintes et à nos ambitions.

Je ne détaillerai pas ici le choix retenu, ni le nom du prestataire sélectionné. Chaque organisation possède ses propres contraintes, son historique, ses compétences internes et ses priorités.

En revanche, avec le recul, je peux affirmer que la démarche de réflexion a été aussi importante que la décision elle-même.

Dans notre cas, la virtualisation et l’hébergement de certains services nous ont permis de conserver la maîtrise de notre système d’information tout en améliorant sa résilience et sa disponibilité.

Nous avons également gagné du temps sur certaines tâches d’exploitation technique, ce qui nous a permis de nous concentrer davantage sur des missions à plus forte valeur ajoutée :

  • accompagnement des utilisateurs ;
  • cybersécurité ;
  • gouvernance du système d’information ;
  • projets métiers ;
  • transformation numérique.

Depuis cette évolution, nous avons pu avancer sur de nombreux sujets qui étaient auparavant relégués au second plan faute de temps.

Cette expérience m’a amené à considérer que l’externalisation n’est pas nécessairement une perte de contrôle.

Lorsqu’elle est correctement pilotée, elle peut au contraire permettre à l’équipe informatique de se recentrer sur son rôle stratégique tout en s’appuyant sur des partenaires spécialisés pour certaines activités techniques.

Conclusion

Il n’existe pas de modèle universel en matière d’hébergement.

Le meilleur choix dépend de la taille de l’organisation, de ses compétences internes, de ses contraintes réglementaires, de son budget et du niveau de risque qu’elle est prête à assumer.

L’important n’est pas de suivre une mode ou une tendance, mais de choisir une solution cohérente avec les besoins réels de la structure.

Qu’il s’agisse de serveurs sur site, d’un datacenter, d’une solution SaaS ou d’une externalisation complète, l’objectif reste le même : garantir la disponibilité, la sécurité et la pérennité des données au service des personnes accompagnées.

Publications similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *