exaegis-closed

Que faire si mon prestataire « as a service » disparaît ?

En entreprise, près d’un logiciel sur trois est désormais utilisé en mode Software as a Service. Mais que faire en cas de cessation d’activité de son prestataire ? Il devient urgent de se soucier des risques associés à ces nouvelles solutions. Jusqu’à mettre en place un plan de secours adapté.

Les applications et services Cloud séduisent. “L’informatique en nuage”, c’est la promesse pour les entreprises de rationaliser leurs opérations et de contrôler leurs coûts informatiques. Voire de mettre les deux pieds dans l’économie numérique. Cependant, confier des applications et des données critiques à un tiers n’est pas sans danger. Face à la croissance continue des activités SaaS, il est capital de comprendre les risques potentiels de ces solutions et d’anticiper les dangers pour les atténuer.

Trois logiciels sur dix : le taux d’adoption du SaaS s’envole !

L’usage du SaaS a plus que doublé au cours des sept dernières années. On évalue aujourd’hui la répartition du portefeuille logiciel en entreprise à 70 % sur site et 30 % en mode Saas (ce taux se situait aux environs de 10 % en 2008). De plus, cette croissance ne montre aucun signe de ralentissement : la plupart des DSI adoptent de plus en plus d’applications et de services SaaS. Ils n’ont souvent pas le choix : le phénomène “shadow IT” (ou informatique fantôme) décrit justement le contournement de la DSI par des utilisateurs impatients qui s’équipent directement sur Internet. Mais sans en référer à quiconque et avec tous les risques que cela comporte pour la sécurité du système d’information.

Que se passe-t-il quand un prestataire SaaS disparaît ?

Les responsables informatiques considèrent qu’il est plus risqué d’utiliser une application en mode SaaS que sur site (ou on-premises). Par conséquent, il est très important – voire critique – que tout fournisseur SaaS dispose de son propre plan de secours et permette l’accès continu aux applications et données de ses clients. En outre, il doit pouvoir autoriser la sauvegarde de ces mêmes données, à la demande ou selon une synchronisation régulière. Pourtant, ce type de prestation est rarement prévu dans le cadre d’un contrat SaaS. Une question cruciale se pose donc : que se passe-t-il quand un prestataire SaaS disparaît ?

Crash Test exaegis

Si on déroule les événements qui précèdent et succèdent à un dépôt de bilan d’un prestataire SaaS, les points de contrôle ci-dessus deviennent rapidement obsolètes : un dépôt de bilan est entraîné par un manque chronique de trésorerie, elle-même conséquence d’insuffisances opérationnelles ou commerciales. Ce qui peut pouvoir également signifier que le plan de continuité du prestataire n’est pas opérant ou que ses fournisseurs n’ont pas été payés. Bref, l’interruption de service n’est pas très loin. La dégradation va s’accentuer durant la période d’observation, synonyme de départ des compétences critiques. Et, bien évidemment, en cas de liquidation, plus rien ne résiste.

Couvrir le risque de défaillance de son prestataire

Or, le Saas signifie que l’on est client d’un service et non d’une licence. Dès lors que l’on souhaite assurer son plan de continuité intégrant du SaaS, il convient de couvrir le risque de défaillance de son prestataire. Ce qui signifie trouver un plan d’urgence qui assure la continuité des activités pour les applications SaaS critiques. Ce plan doit couvrir le risque de disparition du prestataire. Cela implique très en amont, dès la phase achat, des modalités qui dépassent la simple stratégie propre de continuité d’activité. Bien prévoir dans les contrats une clause de réversibilité réellement opérationnelle et pas seulement financière puis surveiller l’évolution du prestataire durant la vie du contrat deviennent des composantes incontournables d’encadrement du risque de défaillance. Le plan de continuité du client dépasse de très loin celui de son fournisseur, car lorsque ce dernier disparaît son PRA (plan de reprise d’activité) disparaît avec lui. Si le fournisseur sombre définitivement, l’accès à la fois aux données et à l’application est coupé…

Idéalement, il faudrait, en SaaS, être propriétaire de la licence, de l’hébergement, des données et de la maintenance… en résumé, comme sur site ! Ce que refusent les éditeurs SaaS pour des raisons évidentes de modèle économique. Ce risque de disparition du prestataire ne doit pas signifier qu’il faut pour autant abandonner toute idée de passer au SaaS : le “nuage” offre des avantages indéniables. Toutefois, dans un marché volatil et en croissance permanente, les entreprises doivent se préparer à la possibilité que leur fournisseur SaaS soit liquidé ou fusionné avec une autre société pour “tuer” la solution (pratique courante dans l’édition logicielle : les placards d’Oracle, de CA et de bien d’autres éditeurs en sont pleins).

Les organisations avisées – y compris les fournisseurs SaaS eux-mêmes – doivent comprendre et anticiper ces nouveaux risques. Choisir les bonnes options en amont et en aval pour protéger leurs opérations constitue désormais une question stratégique. Il devient urgent de s’en préoccuper.

LE RÔLE CLÉ DU TIERS DE CONFIANCE POUR LA CONTINUITÉ D’ACTIVITÉ

 Dans le contexte du SaaS, le recours à un tiers de confiance devient incontournable pour créer un plan d’urgence qui permet de :

 1. Fournir un accès indépendant aux données, même si le fournisseur cesse son activité,

 2. Bénéficier des données et permettre l’utilisation des applications,

 3. Assurer la continuité d’exploitation opérationnelle de l’application,

 4. Utiliser les applications SaaS pour une période prolongée pour évaluer les options de remplacement,

 5. S’assurer une fois le nouveau choix retenu que les données disparaissent des anciens serveurs.

  Réaliser toutes ces opérations nécessite de pouvoir s’accorder en totale confidentialité et en totale indépendance avec toutes les parties prenantes, sans jamais que le risque pour le prestataire de se voir piller sa technologie soit soulevé.