Choisir son prestataire SaaS : se faire accompagner d’un professionnel

« Pour ne pas être dépendant de son prestataire « as a service », il n’y pas 36 solutions. Seule l’intervention d’un tiers de confiance permet à l’entreprise d’accepter sereinement le risque de défaillance inhérent au secteur. »

Le développement colossal du marché des services informatiques en mode Cloud a engendré un nouveau risque pour les entreprises clientes : celui de voir disparaître leur prestataire « as a service », et avec lui la continuité opérationnelle du service. Comment être sûr de bien choisir son fournisseur ? Comment rester serein face aux aléas financiers et opérationnels qui le menacent ? L’intervention d’un tiers de confiance est-elle la solution ? Le point avec Jérome Jouve, expert en continuité d’exploitation chez exaegis.

À quoi une entreprise s’engage-t-elle en signant un contrat de prestations « as a service » ?

Jérome Jouve : « En décidant d’externaliser sur le Cloud certains de leurs services informatiques ou de communication, les entreprises choisissent de confier à un prestataire une partie de leur système informatique en échange desdits services. Ces prestations, qui sont généralement pluriannuelles, incluent l’hébergement, les applications et l’ensemble des ressources nécessaires à une bonne exploitation des données. Souvent, le prestataire fait lui-même appel à des sous-traitants. Un éditeur pourra ainsi déléguer l’hébergement et les services managés de la plate-forme pour se concentrer sur le développement, la maintenance, le support et la commercialisation de sa solution. Les intervenants se partageant la responsabilité des plans de secours et de sécurité en cas de dysfonctionnement. »

Crash Test exaegis

Cela comporte-t-il des risques ?

J.J. : « Oui, bien sûr. Les clients s’exposent d’abord à un risque de dysfonctionnement venant du prestataire : panne, crash informatique… Il faut donc s’assurer que le fournisseur choisi a bien prévu un solide Plan de Reprise d’Activité (PRA), car le PRA de l’entreprise ne pourra pas s’appliquer dans le cadre des activités du Cloud. Il est aussi fortement recommandé qu’ils procèdent à une sauvegarde régulière de leurs données, le mieux étant d’installer une synchronisation permanente. »

Si le prestataire disparaît, ces précautions suffisent-elles à maintenir les services externalisés  ?

J.J. : « Malheureusement, non. Si la situation dégénère, que le prestataire disparaît, son PRA devient caduc. Quant à la sauvegarde des données, elle ne permet pas d’en assurer l’exploitation. La continuité du service ne peut donc plus être assurée, d’autant plus qu’un tel cataclysme arrive en général assez brutalement. Pour ne pas en arriver là, il faudrait que l’entreprise cliente soit en mesure de pouvoir maintenir elle-même la propriété intellectuelle des logiciels, d’accéder aux sous-traitants, en particulier l’hébergement, d’identifier les prestataires qui pourront reprendre le service et de rassembler toutes les données du prestataire pour pouvoir les exploiter. Mais quel est le prestataire qui accepterait d’avoir ce genre de relation avec son client ? Et vice versa ? »

L’intervention d’un tiers de confiance est-elle la solution ?

J.J. : « Pour construire une vraie relation de confiance entre client et fournisseur, certaines choses doivent rester confidentielles et anonymes. Seul un tiers de confiance peut agir comme un sas étanche entre toutes les parties, dont l’ouverture est dictée par des déclencheurs précis et acceptés par tous en amont. Avant même la finalisation du contrat, le tiers de confiance vérifie la pérennité financière du prestataire et sa capacité à délivrer le service promis, identifie les maillons faibles de sa chaîne de production du service, met en place un suivi et évalue les solutions possibles de remplacement en cas de défaillance. Si cela arrivait, ce tiers sera capable de porter les éléments propres au service : propriété intellectuelle, ressources clés, solutions de repli, copies des données et des systèmes… et de déclencher au bon moment une solution de transition en urgence avec des prestataires de secours. »

Que faire si mon prestataire « as a service » disparaît ?

En entreprise, près d’un logiciel sur trois est désormais utilisé en mode Software as a Service. Mais que faire en cas de cessation d’activité de son prestataire ? Il devient urgent de se soucier des risques associés à ces nouvelles solutions. Jusqu’à mettre en place un plan de secours adapté.

Les applications et services Cloud séduisent. “L’informatique en nuage”, c’est la promesse pour les entreprises de rationaliser leurs opérations et de contrôler leurs coûts informatiques. Voire de mettre les deux pieds dans l’économie numérique. Cependant, confier des applications et des données critiques à un tiers n’est pas sans danger. Face à la croissance continue des activités SaaS, il est capital de comprendre les risques potentiels de ces solutions et d’anticiper les dangers pour les atténuer.

Trois logiciels sur dix : le taux d’adoption du SaaS s’envole !

L’usage du SaaS a plus que doublé au cours des sept dernières années. On évalue aujourd’hui la répartition du portefeuille logiciel en entreprise à 70 % sur site et 30 % en mode Saas (ce taux se situait aux environs de 10 % en 2008). De plus, cette croissance ne montre aucun signe de ralentissement : la plupart des DSI adoptent de plus en plus d’applications et de services SaaS. Ils n’ont souvent pas le choix : le phénomène “shadow IT” (ou informatique fantôme) décrit justement le contournement de la DSI par des utilisateurs impatients qui s’équipent directement sur Internet. Mais sans en référer à quiconque et avec tous les risques que cela comporte pour la sécurité du système d’information.

Que se passe-t-il quand un prestataire SaaS disparaît ?

Les responsables informatiques considèrent qu’il est plus risqué d’utiliser une application en mode SaaS que sur site (ou on-premises). Par conséquent, il est très important – voire critique – que tout fournisseur SaaS dispose de son propre plan de secours et permette l’accès continu aux applications et données de ses clients. En outre, il doit pouvoir autoriser la sauvegarde de ces mêmes données, à la demande ou selon une synchronisation régulière. Pourtant, ce type de prestation est rarement prévu dans le cadre d’un contrat SaaS. Une question cruciale se pose donc : que se passe-t-il quand un prestataire SaaS disparaît ?

Crash Test exaegis

Si on déroule les événements qui précèdent et succèdent à un dépôt de bilan d’un prestataire SaaS, les points de contrôle ci-dessus deviennent rapidement obsolètes : un dépôt de bilan est entraîné par un manque chronique de trésorerie, elle-même conséquence d’insuffisances opérationnelles ou commerciales. Ce qui peut pouvoir également signifier que le plan de continuité du prestataire n’est pas opérant ou que ses fournisseurs n’ont pas été payés. Bref, l’interruption de service n’est pas très loin. La dégradation va s’accentuer durant la période d’observation, synonyme de départ des compétences critiques. Et, bien évidemment, en cas de liquidation, plus rien ne résiste.

Couvrir le risque de défaillance de son prestataire

Or, le Saas signifie que l’on est client d’un service et non d’une licence. Dès lors que l’on souhaite assurer son plan de continuité intégrant du SaaS, il convient de couvrir le risque de défaillance de son prestataire. Ce qui signifie trouver un plan d’urgence qui assure la continuité des activités pour les applications SaaS critiques. Ce plan doit couvrir le risque de disparition du prestataire. Cela implique très en amont, dès la phase achat, des modalités qui dépassent la simple stratégie propre de continuité d’activité. Bien prévoir dans les contrats une clause de réversibilité réellement opérationnelle et pas seulement financière puis surveiller l’évolution du prestataire durant la vie du contrat deviennent des composantes incontournables d’encadrement du risque de défaillance. Le plan de continuité du client dépasse de très loin celui de son fournisseur, car lorsque ce dernier disparaît son PRA (plan de reprise d’activité) disparaît avec lui. Si le fournisseur sombre définitivement, l’accès à la fois aux données et à l’application est coupé…

Idéalement, il faudrait, en SaaS, être propriétaire de la licence, de l’hébergement, des données et de la maintenance… en résumé, comme sur site ! Ce que refusent les éditeurs SaaS pour des raisons évidentes de modèle économique. Ce risque de disparition du prestataire ne doit pas signifier qu’il faut pour autant abandonner toute idée de passer au SaaS : le “nuage” offre des avantages indéniables. Toutefois, dans un marché volatil et en croissance permanente, les entreprises doivent se préparer à la possibilité que leur fournisseur SaaS soit liquidé ou fusionné avec une autre société pour “tuer” la solution (pratique courante dans l’édition logicielle : les placards d’Oracle, de CA et de bien d’autres éditeurs en sont pleins).

Les organisations avisées – y compris les fournisseurs SaaS eux-mêmes – doivent comprendre et anticiper ces nouveaux risques. Choisir les bonnes options en amont et en aval pour protéger leurs opérations constitue désormais une question stratégique. Il devient urgent de s’en préoccuper.

LE RÔLE CLÉ DU TIERS DE CONFIANCE POUR LA CONTINUITÉ D’ACTIVITÉ

 Dans le contexte du SaaS, le recours à un tiers de confiance devient incontournable pour créer un plan d’urgence qui permet de :

 1. Fournir un accès indépendant aux données, même si le fournisseur cesse son activité,

 2. Bénéficier des données et permettre l’utilisation des applications,

 3. Assurer la continuité d’exploitation opérationnelle de l’application,

 4. Utiliser les applications SaaS pour une période prolongée pour évaluer les options de remplacement,

 5. S’assurer une fois le nouveau choix retenu que les données disparaissent des anciens serveurs.

  Réaliser toutes ces opérations nécessite de pouvoir s’accorder en totale confidentialité et en totale indépendance avec toutes les parties prenantes, sans jamais que le risque pour le prestataire de se voir piller sa technologie soit soulevé.

Accéder à un marché semi public grâce à la Garantie Opérationnelle exaegis

Startup

Business Case

Secteur d’activité : Startup SaaS dans le domaine de la Gestion de la formation

Taille : startup de 2 ans d’antériorité, CA de 150K€ (mais principalement en conseil), 8 collaborateurs

Contexte : une startup offrant des services de gestion de la formation des salariés présente une offre novatrice et très concurrentielle sur le plan tarifaire.

La DRH d’un organisme semi public, gérant 600 collaborateurs est intéressé par les fonctionnalités et l’ergonomie présentées par la jeune entreprise, en raison d’un ROI rapide. Le service « achats » et la Direction Informatique coincent pour entériner la commande : interrogation sur la pérennité du prestataire et devenir de la solution et des données en cas de disparition de la Startup.

Notre intervention : Audit et Notation de la startup par exaegis, qui conduit à la délivrance du label StarTRUXT. Sécurisation de la jeune pousse et souscription par le client de la Garantie Opérationnelle. L’audit a également mis en avant la nécessité de mettre en œuvre un PCI pour la startup.

Résultats : Suite à la lecture du rapport d’audit de la Notation (α2), rassuré par l’obtention du label StarTRUXT, le client a souscrit l’abonnement proposé par la jeune pousse pour ses 600 collaborateurs.

Tout en contractualisant en parallèle la garantie opérationnelle exægis de son nouveau fournisseur afin que la continuité de services soit assurée en cas du pire. La Direction informatique ayant donné son accord, la garantie financière de 15 M€ présentée par exaegis a levé les dernières réticences du « service achat » et la startup a remporté son premier marché d’importance avec une valeur de contrat de 112 K€ sur trois ans.

La startup intègre dans toutes ses nouvelles présentations son Label et présente la Garantie Opérationnelle sur toutes les dossiers supérieurs à 20K€.

Facteurs clé de Succès :

  1. La Direction Utilisatrice était un sponsor fort de la solution, qui présentait un ROI rapide
  2. Le rapport de Notation a mis en exergue sur le plan financier la qualité du business model et de son business plan. L’audit opérationnel a démontré une forte capacité d’exécution de la solution. La Notation obtenue a conforté les interlocuteurs clients dans leur choix et le « service achat » a considéré le prestataire avec plus de bienveillance.
  3. L’audit opérationnel a soulevé le besoin d’un plan de continuité informatique de la startup. Ce PCA a été construit dans le cadre de la sécurisation et exægis assure également le PCI de la jeune pousse.
  4. La Garantie Opérationnelle exaegis a permis de rallier la direction informatique au projet en permettant à la DSI de valider l’intégration de ce nouveau fournisseur dans son plan de continuité et surtout maitriser les données en cas de défaillance
  5. La réassurance exægis de 15M€ a levé les derniers doutes sur la chaine de responsabilité présentée par la startup et exægis.