Les 7 questions à poser avant de s’engager avec un prestataire SaaS

Sur le marché du SaaS et du Cloud, il existe de fortes disparités dans le service délivré par les différents fournisseurs. Multinationales, startups, éditeurs historiques « saasifiant » leur offres, ESN locales… à chacun sa spécificité ! Mais quel que soit le prestataire, les contraintes pour l’usager restent les mêmes, comme les moyens de sélection.

CHECKLIST

Voici l’inventaire des questions à poser pour réussir votre virage vers ce nouveau mode de consommation de l’IT.

1- Avez-vous un plan de reprise et à quelle fréquence est-il testé ?

La reprise sur sinistre et la continuité de votre exploitation se trouvent maintenant externalisées pour partie chez votre fournisseur SaaS et dépendent de sa capacité de reprise et de continuité. La présence d’un plan de reprise couvrant les incidents climatiques, les pandémies ou les pannes majeures est un point de contrôle incontournable si le logiciel entre dans votre chaîne d’exploitation (ERP par exemple). Demandez les derniers résultats des tests de PRA !

2- Quels sont les moyens d’intégration mis à ma disposition ?

Vous allez démarrer votre expérimentation d’une application SaaS et souhaitez l’intégrer à votre système d’information. Les moyens d’interfacer votre SI avec ce nouvel outil doivent être identifiés. Idéalement, un démonstrateur technique peut venir appuyer la démonstration de la bonne intégration de ce nouvel outil dans votre SI. La présence d’une API de la solution SaaS intégrable avec votre SI est un point de contrôle important, tout comme le coût afférent au probable développement des interfaces que vous allez devoir intégrer dans le coût total de l’opération.

3- Comment mesurez-vous vos engagements de service ?

Tout comme la reprise d’activité, la continuité d’activité face à un incident technique est une composante primordiale. Vous utilisiez un outil développé et supporté en interne par des équipes internalisées, les délais de prises en compte et de résolution des incidents étaient fonction de la maturité de votre organisation en gestion des services IT. Dans tous les cas, il était toujours possible d’escalader rapidement jusqu’au plus niveau de l’organisation pour que les incidents soient traités dans les temps. Dans l’environnement SaaS, l’escalade passe par des filtres que sont les engagements de service. Il va donc falloir accorder avec le prestataire ces engagements en fonction de vos contraintes métiers. Attention donc que les engagements soient adaptés à votre business, que les engagements ne soient pas purement des engagements de moyens pour une activité sensible de votre entreprise. Demandez ensuite à obtenir les relevés de l’atteinte des SLA sur une année glissante, et le mode de calcul de ces SLA. Il peut être utile de demander à mettre en place une matrice de contacts. Cette dernière doit intégrer la direction du fournisseur permettant à chaque niveau d’escalade, tant sur le plan technique que managériale, d’avoir les interlocuteurs pertinents.

4- Quelle est votre santé financière ?

C’est un peu la tarte à la crème dans une relation fournisseur, mais l’analyse du bilan financier est la première mesure de l’évaluation fournisseur. N’oubliez pas que la défaillance de votre fournisseur SaaS est un risque à prendre en compte dans votre plan de reprise mais également dans votre plan de prévention des risques. Cependant, il y a un piège : le business model d’une entreprise SaaS est complétement différent d’un éditeur de logiciels en mode licence. Aussi, l’analyse financière doit intégrer l’analyse du haut de bilan mais également du bas de bilan (revenus récurrents plutôt que revenu one-shot à l’achat, présence de produit constaté d’avance, recours au financement locatif). Cette particularité brouille les pistes de l’analyse financière traditionnelle.

Pour en savoir plus, cliquez-ici.

5- Quel est le processus de réversibilité ?

Le SaaS et le cloud véhiculent des valeurs collaboratives. Pourtant peu d’éditeurs mettent en avant leurs services propres à la réversibilité, c’est-à-dire la restitution de vos données en cas de décision de changement de prestataire. À la question « quel est le processus de réversibilité ? « , la réponse la plus fréquente que nous constatons est le fait que l’utilisateur a la possibilité d’exporter lui-même les données. La belle affaire quand on est face à un ERP et que l’on doit procéder à l’export des enregistrements de la base de données client par client par exemple. Imaginez le temps nécessaire à l’opération ! Demandez plutôt quel processus automatique est prévu par le prestataire et les formats des données d’export. Vérifiez que ce format soit suffisamment standard pour imaginer un import vers une autre solution du marché. De votre côté la réversibilité doit également anticiper l’intégration vers une nouvelle solution !

6 – Qui hébergera mes données et quel est le niveau de sécurité ?

Grand débat qui agite les média IT : »Le cloud est-il « Secure » ? « . Et bien ça dépend ! Et les garanties en la matière ne pourront être obtenues que si le prestataire ou son hébergeur affiche des distinctions de type ISO27001, qui assurent que des contrôles sont mis en place sur les personnes, les processus et les données de manière à identifier les failles de sécurité et les corriger. Pour les autres, il n’est pas certain que vos données soient plus en sécurité chez votre prestataire qu’au fond de votre garage et les disparités entre les éditeurs sont importantes. Qui plus est votre prestataire pourra faire appel à un hébergeur avec lequel vous n’aurez aucune relation et qui pourtant hébergera vos données. Demandez quel est l’hébergeur de votre prestataire et s’il dispose de certifications de sécurité.

 7 – Quelle montée en charge pouvez-vous supporter ?

Le Cloud est extensible et agile… donc, si vous prévoyez de « commencer petit » avec un éditeur puis d’étendre le service à d’autres zones géographiques, il est nécessaire de dialoguer avec le prestataire pour savoir s’il sera en mesure de tenir la montée en charge sans régression du service. Par exemple, certains prestataires ne mettent pas en place de hotline internationale disponible quel que soit l’heure du jour ou de la nuit. Pourtant, vous prévoyez de déployer internationalement votre produit. Vos utilisateurs de l’hémisphère opposé pourront-ils attendre 12H que le service redémarre parce que le prestataire ne déploie pas de moyens de continuité 24/24 ?

Pour davantage d’informations, téléchargez gratuitement notre guide sur l’achat des solutions IT SaaS.

 

Les 7 questions à poser avant de s’engager avec un prestataire SaaS

Sur le marché du SaaS et du Cloud, il existe de fortes disparités dans le service délivré par les différents fournisseurs. Multinationales, startups, éditeurs historiques « saasifiant » leur offres, ESN locales… à chacun sa spécificité ! Mais quel que soit le prestataire, les contraintes pour l’usager restent les mêmes, comme les moyens de sélection. Inventaire des questions à poser pour réussir votre virage vers ce nouveau mode de consommation de l’IT.

 

1- Avez-vous un plan de reprise et à quelle fréquence est-il testé ?

La reprise sur sinistre et la continuité de votre exploitation se trouvent maintenant externalisées pour partie chez votre fournisseur Saas et dépendent de sa capacité de reprise et de continuité. La présence d’un plan de reprise couvrant les incidents climatiques, les pandémies ou les pannes majeures est un point de contrôle incontournable si le logiciel entre dans votre chaîne d’exploitation (ERP par exemple). Demandez les derniers résultats des tests de PRA !

Guide exaegis : Comment choisir son prestataire ?

2- Quels sont les moyens d’intégration mis à ma disposition ?

Vous allez démarrer votre expérimentation d’une application Saas et souhaitez l’intégrer à votre système d’information. Les moyens d’interfacer votre SI avec ce nouvel outil doivent être identifiés. Idéalement, un démonstrateur technique peut venir appuyer la démonstration de la bonne intégration de ce nouvel outil dans votre SI. La présence d’une API de la solution Saas intégrable avec votre SI est un point de contrôle important, tout comme le coût afférent au probable développement des interfaces que vous allez devoir intégrer dans le coût total de l’opération.

3- Comment mesurez-vous vos engagements de service ?

Tout comme la reprise d’activité, la continuité d’activité face à un incident technique est une composante primordiale. Vous utilisiez un outil développé et supporté en interne par des équipes internalisées, les délais de prises en compte et de résolution des incidents étaient fonction de la maturité de votre organisation en gestion des services IT. Dans tous les cas, il était toujours possible d’escalader rapidement jusqu’au plus niveau de l’organisation pour que les incidents soient traités dans les temps.  Dans l’environnement Saas, l’escalade passe par des filtres que sont les engagements de service. Il va donc falloir accorder avec le prestataire ces engagements en fonction de vos contraintes métiers. Attention donc que les engagements soient adaptés à votre business, que les engagements ne soient pas purement des engagements de moyens pour une activité sensible de votre entreprise. Demandez ensuite à obtenir les relevés de l’atteinte des SLA sur une année glissante, et le mode de calcul de ces SLA. Il peut être utile de demander à mettre en place une matrice de contacts. Cette dernière doit intégrer la direction du fournisseur permettant à chaque niveau d’escalade, tant sur le plan technique que managériale, d’avoir les interlocuteurs pertinents.

4- Quelle est votre santé financière ?

C’est un peu la tarte à la crème dans une relation fournisseur, mais l’analyse du bilan financier est la première mesure de l’évaluation fournisseur. N’oubliez pas que la défaillance de votre fournisseur Saas est un risque à prendre en compte dans votre plan de reprise mais également dans votre plan de prévention des risques. Cependant, il y a un piège : le business model d’une entreprise Saas est complétement différent d’un éditeur de logiciels en mode licence. Aussi, l’analyse financière doit intégrer l’analyse du haut de bilan mais également du bas de bilan (revenus récurrents plutôt que revenu one-shot à l’achat, présence de produit constaté d’avance, recours au financement locatif). Cette particularité brouille les pistes de l’analyse financière traditionnelle. (Pour en savoir plus :  http://blog.exaegis.com/evaluer-la-sante-financiere-dune-entreprise-saas/ ).

5- Quel est le processus de réversibilité ?

Le Saas et le cloud véhiculent des valeurs collaboratives. Pourtant peu d’éditeurs mettent en avant leurs services propres à la réversibilité, c’est-à-dire la restitution de vos données en cas de décision de changement de prestataire. À la question « quel est le processus de réversibilité ? », la réponse la plus fréquente que nous constatons est le fait que l’utilisateur a la possibilité d’exporter lui-même les données. La belle affaire quand on est face à un ERP et que l’on doit procéder à l’export des enregistrements de la base de données client par client par exemple. Imaginez le temps nécessaire à l’opération ! Demandez plutôt quel processus automatique est prévu par le prestataire et les formats des données d’export. Vérifiez que ce format soit suffisant standard pour imaginer un import vers une autre solution du marché. De votre côté la réversibilité doit également anticiper l’intégration vers une nouvelle solution !

6 – Qui hébergera mes données et quel est le niveau de sécurité ?

Grand débat qui agite les média IT : « Le cloud est-il « Secure » ? ». Et bien ça dépend ! Et les garanties en la matière ne pourront être obtenues que si le prestataire ou son hébergeur affiche des distinctions de type ISO27001, qui assurent que des contrôles sont mis en place sur les personnes, les processus et les données de manière à identifier les failles de sécurité et les corriger. Pour les autres, il n’est pas certain que vos données soient plus en sécurité chez votre prestataire qu’au fond de votre garage et les disparités entre les éditeurs sont importantes. Qui plus est votre prestataire pourra faire appel à un hébergeur avec lequel vous n’aurez aucune relation et qui pourtant hébergera vos données. Demandez quel est l’hébergeur de votre prestataire et s’il dispose de certifications de sécurité.

 7 – Quelle montée en charge pouvez-vous supporter ?

Le Cloud est extensible et agile… donc, si vous prévoyez de « commencer petit » avec un éditeur puis d’étendre le service à d’autres zones géographiques, il est nécessaire de dialoguer avec le prestataire pour savoir s’il sera en mesure de tenir la montée en charge sans régression du service. Par exemple, certains prestataires ne mettent pas en place de hotline internationale disponible quel que soit l’heure du jour ou de la nuit. Pourtant, vous prévoyez de déployer internationalement votre produit. Vos utilisateurs de l’hémisphère opposé pourront-ils attendre 12H que le service redémarre parce que le prestataire ne déploie pas de moyens de continuité 24/24 ?

 

10 défaillances significatives du secteur numérique (2ème trimestre 2016)

Après les défaillances IT du premier trimestre, exaegis se penche cette fois sur celles du deuxième trimestre, toujours en se basant sur les trois types de jugement synonymes de risque fort de défaillance (redressement judiciaire, liquidation judiciaire et liquidation judiciaire simplifiée). Les statistiques utilisées se basent une fois de plus sur les codes APE

 

 

novacom-associés

Capital social : 780 000 ; Effectif : 24 salariés

Novacom Associés est une agence de conseils et de conception de dispositifs de communication et de marketing relationnels. Créée en 2003, elle proposait le concept de « Digital in Situ », c’est-à-dire la mise en place de systèmes digitaux créant une interactivité entre le lieu, le client et les produits proposés. Malgré de très bonnes références ( Renault, Canalsat et Canal +, Orange, Jaguar, la Maaf etc…) et des prix importants ( Grand Prix de la Publicité en 2007 et le Prix de la meilleure stratégie internet en 2009, labellisée entreprise innovante par Oséo Anvar ), l’agence a été placée en liquidation judiciaire le 31 avril 2016

 

Nware_Logo

Capital social : 691 900 ; Effectif : 50 salariés

Nware est une entreprise spécialisée dans l’accompagnement dans la transformation des infrastructures SI et dans la cybersécurité depuis 2008, elle est labellisée Jeune Entreprise Innovante en 2011. Peu d’informations financières sont disponibles, Nware  ne publiant pas ses bilans, elle semble avoir a réalisé un chiffre d’affaires de 6,7 millions d’euros en 2013 avec 102 salariés  et était alors en phase de recrutement d’une trentaine de salariés d’ici trois ans. Après le rachat de l’ingénierie Orbytes en 2014, la SSII était en phase de déploiement dans tout le pays, et avait comme ambition d’évoluer vers le métier de fournisseur de services Cloud, et annonçait le triplement de son CA. Nware comptait parmi ses clients la Société Générale, Mondiale Assistance, Essilor, Rhodia. Initialement en placée en redressement judiciaire au début du mois d’avril 2016, elle a finalement été rachetée le 14 juin dans le cadre d’un plan de cession par NEXTIRAONE. 

 

teletech internationa_logo

Capital social : 525 000 € ; Effectif : 20 salariés

Teletech International est un centre d’appel crée en 1993 proposant des solutions CRM personnalisées pour les entreprises via sa propre plateforme, Nest CRM. Elle a été récompensée par le prix Arseg de l’environnement de Travail 2012, le Trophée Mieux Vivre en Entreprise 2013 et l’Espoir du Management 2014. Elle comptait parmi ses références Total, la mutuelle Unéo, Cétélem, Epson, Versatel …etc. Teletech a bénéficié d’importants soutiens financiers publics notamment  6,5 millions d’euros pour la réhabilitation de l’ancien site AMORA de Dijon contre une promesse d’emploi de 400 personnes. A la base en redressement judiciaire en février, l’entreprise est rachetée par FINARE, la holding du courtier ECA Assurance .

golaem

Capital social : 137 280 € ; Effectif : 14 salariés

Golaem est une startup fondée en 2009 dont l’activité se base autour de la création de foules virtuelles, par le biais du logiciel Golaem Crowd, utilisé notamment par les productions cinématographiques et publicitaires ( Astérix au service de sa majesté, une publicité Orange).  Ce logiciel qualifié comme un « outil prêt à l’emploi » lui a permis de de se faire connaître à l’international dans le film Warm Bodies et dans un épisode de la série à succès Game of Thrones. Elle a réussi à lever 525 K€ en 2012, puis 600 k€ en 2014. Malgré tout, l’entreprise est en redressement judiciaire depuis le mois de juin.

 

logo_navidis

Capital social : 122 410 ; Effectif : 12 salariés

Navidis  est une entreprise qui a développé une plateforme numérique de services de proximité basée sur le SoLoMo (Social/Local/Mobile) et qui permet par exemple, d’augmenter ses revenus, de faire des économies …etc. En 2010, elle a obtenu le Prix spécial du jury au Festival Fimbacte et le prix de la catégorie “Business & Services Innovations” au FTTH Innovation Awards. Elle a également reçu le label « Reconnu d’intérêt Pédagogique » du Ministère de l’Education Nationale, ainsi que deux lauréats d’appel à projets en 2012. L’entreprise avait des clients comme le Microsoft, Schneider, Cofiroute et des institutions et des collectivités ( RMN, Conseil Régional d’Ile-de-France, Ministère de la Culture et de la Communication …etc.). L’entreprise est en redressement judiciaire depuis fin juin.

 

ezakus_logo

Capital social : 96 080 € ; Effectif : 20 salariés

Ezakus est  une entreprise fondée en 2011 qui se présente comme une plateforme mettant en contact les marques ainsi que les internautes en fonction de leurs affinités réelles, qu’ils aient l’intention d’acheter ou qu’ils soient déjà clients. Elle permet également d’optimiser les actions marketing depuis l’acquisition jusqu’à la fidélisation client. Par l’intermédiaire d’IDinvest, elle est parvenue à finaliser une levée de 2,2 millions d’euros en 2011 et de 2.5 millions d’euros en 2013. D’abord placée en redressement judiciaire puis en plan de cession en juin, elle est rachetée par NP6, spécialisé dans l’emailing et la relation clients.

baobaz

Capital social : 96 000 € ; Effectif : 47 salariés

Baobaz est une agence web fondée en 2000 spécialisée en E-commerce et en accompagnement de projets de communication et d’e-marketing, travaillant principalement avec des marques ( Burton, Aubade, Etam, La Halle, Zadig & Voltaire …etc. ). En 2012, les résultats financiers disponibles montrent une progression du CA (atteignant 5,3 M€) mais également une dégradation forte de son résultat d’exploitation passant de 81 k€ à -300 k€.  En 2015, elle rejoint le groupe Revolution 9. Elle est en redressement judiciaire depuis la fin du mois de juin.

 

2ymedia

Capital social : 88 904 € ; Effectif : 20 salariés

2 Y Media, plus connue sous le nom d’AdServerPub, est une startup spécialisée dans la diffusion de compagnes publicitaires en ligne  et de ciblage d’internautes créée en 2009. Elle compte parmi ses clients La Redoute, Meetic, TV5Monde, Pixmania ou encore Zalando et a effectué une levée de fonds de 2 millions d’euros en 2013 pour se développer à l’international ( Allemagne, Espagne ). Cependant, elle est en redressement judiciaire depuis le mois de juin.

idyalconsulting

Capital social : 50 000 € ; Effectif : 20 salariés

Idyal Consulting est une agence créée en 2006 qui propose des solutions destinées notamment à l’amélioration et à l’accompagnement des SI. De 2008 à 2012, elle a bénéficié du Crédit d’Impôt Recherche (CIR) et a pu installer un local à Dakar en 2013. Malgré de bonnes références ( BNP Paribas, la Société Générale, SFR, Cofrac et Axa IM ), l’agence est en redressement judiciaire depuis la fin du mois de juin.

 

savemysmartphone

Capital social : 44 064 € ; Effectif : 20 salariés 

Save My Smartphone est une startup créée en 2013 qui propose de la réparation de smartphones et de tablettes et dont l’objectif à long terme est d’apporter un service de réparation dans la journée pour n’importe quel objet connecté dans le monde. Elle a obtenu le Pass French Tech dans le cadre du programme Fast Track de Cap Digital et a effectué une levée de fonds de 15 millions d’euros en 2015. Les objectifs affichés sont alors très ambitieux ( développement en province sous forme de franchise, création de corners de réparation dans des boutiques d’opérateurs de téléphonie mobile), l’entreprise est en redressement judiciaire depuis début juillet. Le CEO livre son analyse sur le site MEDIUM.

 

Le secteur du numérique se développe constamment et les entreprises/startups sont très nombreuses dans ce secteur devenu très concurrentiel. Dans ce contexte, les défaillances sont inéluctables, d’autant plus que les modèles économiques sont peu éprouvés. Il est important d’anticiper ces défaillances que vous soyez clients, financeurs ou investisseurs des entreprises du numérique. Le recours à un tiers de confiance apparaît comme une garantie de sécurité dans la phase de sélection de vos partenaires, dans  la surveillance continue de la santé financière (cf . évaluer la santé financière de votre futur prestataire SaaS) et opérationnelle, voire in-fine dans la souscription d’une garantie de continuité de service auprès du tiers de confiance.                      

 

Entreprise SaaS : comment évaluer la santé financière de mon fournisseur ?

« Le marché des services SaaS est nouveau, évolutif et gourmand en capitaux. Cela ne fait pas pour autant de lui une bulle prête à exploser. Seulement, son fonctionnement spécifique nous oblige à reconsidérer nos instruments d’analyse financière. »

Ronan Mevel, directeur des études Exægis.

C’est un bruit qui court dans les médias spécialisés sur la finance et la bourse… Une nouvelle bulle serait bientôt sur le point d’exploser : celle provoquée par les sociétés éditrices d’applications Software as a Service, jugées trop chères. Problème : ces conclusions alarmistes se fondent sur des critères d’analyse tout à fait pertinents lorsqu’ils s’appliquent à des sociétés cotées en bourse, mais parfaitement inadaptés aux acteurs du SaaS. Explications.

Un raisonnement a priori imparable… Oui, mais

Certes, ceux qui jouent ainsi les Cassandre semblent disposer d’un argument de poids : le contraste entre la croissance des chiffres d’affaires des prestataires SaaS et la faiblesse de leurs profits démontrerait l’absence d’un business réel et rentable. Nous serions dans une situation semblable à celle de 1999-2000, où la croissance était financée à n’importe quel prix par des investisseurs qui, soudain, « ferment le robinet ». De nombreuses entreprises SaaS seraient alors dans l’incapacité de poursuivre leur activité. Sauf que ce raisonnement s’appuie sur des outils d’évaluation inadaptés, déjà utilisés à mauvais escient lors de la bulle Internet, et qui ne sont pas de bons indicateurs de la santé financière des entreprises SaaS. La différence, c’est qu’aujourd’hui nous disposons des bons outils, reconnus par les règles comptables habituelles. Alors pourquoi ne pas les utiliser ? Mystère… Sans doute l’appât du buzz, lié à une annonce simpliste mais sensationnelle.

Éditeurs traditionnels versus éditeurs SaaS  : deux poids, deux mesures

Dans l’univers traditionnel du logiciel (Oracle, SAP…), les entreprises sont capables d’afficher leur profitabilité très vite car le calendrier des recettes est aligné sur celui des dépenses. Les clients paient la totalité des licences achetées avant l’utilisation. Ils s’acquittent ensuite d’un coût de maintenance annuel d’environ 15 % du coût initial des licences. Pour les éditeurs SaaS, les choses sont nettement moins simples. Leurs clients n’achètent pas une licence une bonne fois pour toutes. Ils s’abonnent à un service, qui leur est généralement facturé chaque mois, tant que dure leur utilisation. D’où le nom « Software as a service ». Dans le cas d’un abonnement sur 24 mois, par exemple, le chiffre d’affaires enregistré comptablement chaque mois ne correspond donc qu’à 1/24ème de la valeur totale du contrat. L’éditeur ne pourra pas reconnaître le chiffre d’affaires de ces 24 mois au démarrage de l’abonnement, mais à la fin de celui-ci ! Les dépenses, qui constituent le coût d’acquisition d’un client, sont en revanche enregistrées dès le démarrage de l’abonnement : efforts commerciaux, campagnes marketing, développement et maintenance du logiciel, hébergement de l’infrastructure… Conclusion : l’analyse du seul compte de résultats ne suffit pas pour évaluer un business SaaS.

Crash Test exaegis

Cash-flow  : un crédo dépassé

Dans une entreprise classique, l’état des liquidités générées par l’activité est un bon indicateur de sa santé financière. Pour une entreprise Saas, l’analyse est biaisée par le décalage qui existe entre les revenus et les dépenses. Le client règle sa facture une fois par mois, par trimestre ou par an. L’éditeur, lui, doit régler l’intégralité des dépenses liées à l’acquisition du client dès le démarrage de l’abonnement. Imaginons qu’il ait dépensé 6 000 € pour acquérir un client et que le service soit facturé au client 500 € par mois, le cah-flow n’atteint son point d’équilibre qu’au 13ème mois. À chaque acquisition de nouveau client, la situation de son cash-flow se détériorera à nouveau. Tout l’enjeu est donc d’avoir une base de clients déjà « convertis » la plus large possible.

Les vraies questions à se poser

C’est un fait : dans le business SaaS, la « cash machine » met plus de temps à s’enclencher. Les investissements ont même un impact négatif à court terme sur le résultat et le cash flow. La situation financière d’une entreprise SaaS ne se juge donc pas à l’écart qu’il existe entre son chiffre d’affaires en cours et les dépenses engagées, mais en fonction de sa capacité à enclencher la fameuse « cash machine », après un certain délai. Or, il faut savoir que les entreprises SaaS bénéficient d’un taux de fidélité élevé, à condition bien sûr que l’offre soit compétitive et de qualité. L’engagement d’un client est même généralement largement supérieur au temps requis pour que l’éditeur couvre les coûts d’acquisition de nouveaux clients. Autre avantage pour les investisseurs : les revenus sont prédictibles, ce qui permet d’envisager plus sereinement l’optimisation de la stratégie. Enfin, contrairement à un éditeur traditionnel, qui doit maintenir à grands frais les multiples versions de son logiciel, l’éditeur SaaS ne propose qu’une seule version hébergée de son logiciel. Ce qui signifie une seule version à maintenir, à mettre à jour, à débuguer… De quoi réaliser des économies substantielles et améliorer sa profitabilité à terme.

Avant de crier au feu, il s’agit donc d’appréhender ce nouveau marché du SaaS en ayant conscience de l’ensemble de ses spécificités. Et d’accepter de parler « coût d’acquisition d’un client (CAC) » ou « taux de désabonnement (churn) » plutôt que compte de résultat ou cash-flow.

Choisir son prestataire SaaS : se faire accompagner d’un professionnel

 

« Pour ne pas être dépendant de son prestataire « as a service », il n’y pas 36 solutions. Seule l’intervention d’un tiers de confiance permet à l’entreprise d’accepter sereinement le risque de défaillance inhérent au secteur. »

Le développement colossal du marché des services informatiques en mode Cloud a engendré un nouveau risque pour les entreprises clientes : celui de voir disparaître leur prestataire « as a service », et avec lui la continuité opérationnelle du service. Comment être sûr de bien choisir son fournisseur ? Comment rester serein face aux aléas financiers et opérationnels qui le menacent ? L’intervention d’un tiers de confiance est-elle la solution ? Le point avec Jérome Jouve, expert en continuité d’exploitation chez exaegis.

À quoi une entreprise s’engage-t-elle en signant un contrat de prestations « as a service » ?

Jérome Jouve : « En décidant d’externaliser sur le Cloud certains de leurs services informatiques ou de communication, les entreprises choisissent de confier à un prestataire une partie de leur système informatique en échange desdits services. Ces prestations, qui sont généralement pluriannuelles, incluent l’hébergement, les applications et l’ensemble des ressources nécessaires à une bonne exploitation des données. Souvent, le prestataire fait lui-même appel à des sous-traitants. Un éditeur pourra ainsi déléguer l’hébergement et les services managés de la plate-forme pour se concentrer sur le développement, la maintenance, le support et la commercialisation de sa solution. Les intervenants se partageant la responsabilité des plans de secours et de sécurité en cas de dysfonctionnement. »

Crash Test exaegis

Cela comporte-t-il des risques ?

J.J. : « Oui, bien sûr. Les clients s’exposent d’abord à un risque de dysfonctionnement venant du prestataire : panne, crash informatique… Il faut donc s’assurer que le fournisseur choisi a bien prévu un solide Plan de Reprise d’Activité (PRA), car le PRA de l’entreprise ne pourra pas s’appliquer dans le cadre des activités du Cloud. Il est aussi fortement recommandé qu’ils procèdent à une sauvegarde régulière de leurs données, le mieux étant d’installer une synchronisation permanente. »

Si le prestataire disparaît, ces précautions suffisent-elles à maintenir les services externalisés  ?

J.J. : « Malheureusement, non. Si la situation dégénère, que le prestataire disparaît, son PRA devient caduc. Quant à la sauvegarde des données, elle ne permet pas d’en assurer l’exploitation. La continuité du service ne peut donc plus être assurée, d’autant plus qu’un tel cataclysme arrive en général assez brutalement. Pour ne pas en arriver là, il faudrait que l’entreprise cliente soit en mesure de pouvoir maintenir elle-même la propriété intellectuelle des logiciels, d’accéder aux sous-traitants, en particulier l’hébergement, d’identifier les prestataires qui pourront reprendre le service et de rassembler toutes les données du prestataire pour pouvoir les exploiter. Mais quel est le prestataire qui accepterait d’avoir ce genre de relation avec son client ? Et vice versa ? »

L’intervention d’un tiers de confiance est-elle la solution ?

J.J. : « Pour construire une vraie relation de confiance entre client et fournisseur, certaines choses doivent rester confidentielles et anonymes. Seul un tiers de confiance peut agir comme un sas étanche entre toutes les parties, dont l’ouverture est dictée par des déclencheurs précis et acceptés par tous en amont. Avant même la finalisation du contrat, le tiers de confiance vérifie la pérennité financière du prestataire et sa capacité à délivrer le service promis, identifie les maillons faibles de sa chaîne de production du service, met en place un suivi et évalue les solutions possibles de remplacement en cas de défaillance. Si cela arrivait, ce tiers sera capable de porter les éléments propres au service : propriété intellectuelle, ressources clés, solutions de repli, copies des données et des systèmes… et de déclencher au bon moment une solution de transition en urgence avec des prestataires de secours. »

Que faire si mon prestataire « as a service » disparaît ?

En entreprise, près d’un logiciel sur trois est désormais utilisé en mode Software as a Service. Mais que faire en cas de cessation d’activité de son prestataire ? Il devient urgent de se soucier des risques associés à ces nouvelles solutions. Jusqu’à mettre en place un plan de secours adapté.

Les applications et services Cloud séduisent. “L’informatique en nuage”, c’est la promesse pour les entreprises de rationaliser leurs opérations et de contrôler leurs coûts informatiques. Voire de mettre les deux pieds dans l’économie numérique. Cependant, confier des applications et des données critiques à un tiers n’est pas sans danger. Face à la croissance continue des activités SaaS, il est capital de comprendre les risques potentiels de ces solutions et d’anticiper les dangers pour les atténuer.

Trois logiciels sur dix : le taux d’adoption du SaaS s’envole !

L’usage du SaaS a plus que doublé au cours des sept dernières années. On évalue aujourd’hui la répartition du portefeuille logiciel en entreprise à 70 % sur site et 30 % en mode Saas (ce taux se situait aux environs de 10 % en 2008). De plus, cette croissance ne montre aucun signe de ralentissement : la plupart des DSI adoptent de plus en plus d’applications et de services SaaS. Ils n’ont souvent pas le choix : le phénomène “shadow IT” (ou informatique fantôme) décrit justement le contournement de la DSI par des utilisateurs impatients qui s’équipent directement sur Internet. Mais sans en référer à quiconque et avec tous les risques que cela comporte pour la sécurité du système d’information.

Que se passe-t-il quand un prestataire SaaS disparaît ?

Les responsables informatiques considèrent qu’il est plus risqué d’utiliser une application en mode SaaS que sur site (ou on-premises). Par conséquent, il est très important – voire critique – que tout fournisseur SaaS dispose de son propre plan de secours et permette l’accès continu aux applications et données de ses clients. En outre, il doit pouvoir autoriser la sauvegarde de ces mêmes données, à la demande ou selon une synchronisation régulière. Pourtant, ce type de prestation est rarement prévu dans le cadre d’un contrat SaaS. Une question cruciale se pose donc : que se passe-t-il quand un prestataire SaaS disparaît ?

Crash Test exaegis

Si on déroule les événements qui précèdent et succèdent à un dépôt de bilan d’un prestataire SaaS, les points de contrôle ci-dessus deviennent rapidement obsolètes : un dépôt de bilan est entraîné par un manque chronique de trésorerie, elle-même conséquence d’insuffisances opérationnelles ou commerciales. Ce qui peut pouvoir également signifier que le plan de continuité du prestataire n’est pas opérant ou que ses fournisseurs n’ont pas été payés. Bref, l’interruption de service n’est pas très loin. La dégradation va s’accentuer durant la période d’observation, synonyme de départ des compétences critiques. Et, bien évidemment, en cas de liquidation, plus rien ne résiste.

Couvrir le risque de défaillance de son prestataire

Or, le Saas signifie que l’on est client d’un service et non d’une licence. Dès lors que l’on souhaite assurer son plan de continuité intégrant du SaaS, il convient de couvrir le risque de défaillance de son prestataire. Ce qui signifie trouver un plan d’urgence qui assure la continuité des activités pour les applications SaaS critiques. Ce plan doit couvrir le risque de disparition du prestataire. Cela implique très en amont, dès la phase achat, des modalités qui dépassent la simple stratégie propre de continuité d’activité. Bien prévoir dans les contrats une clause de réversibilité réellement opérationnelle et pas seulement financière puis surveiller l’évolution du prestataire durant la vie du contrat deviennent des composantes incontournables d’encadrement du risque de défaillance. Le plan de continuité du client dépasse de très loin celui de son fournisseur, car lorsque ce dernier disparaît son PRA (plan de reprise d’activité) disparaît avec lui. Si le fournisseur sombre définitivement, l’accès à la fois aux données et à l’application est coupé…

Idéalement, il faudrait, en SaaS, être propriétaire de la licence, de l’hébergement, des données et de la maintenance… en résumé, comme sur site ! Ce que refusent les éditeurs SaaS pour des raisons évidentes de modèle économique. Ce risque de disparition du prestataire ne doit pas signifier qu’il faut pour autant abandonner toute idée de passer au SaaS : le “nuage” offre des avantages indéniables. Toutefois, dans un marché volatil et en croissance permanente, les entreprises doivent se préparer à la possibilité que leur fournisseur SaaS soit liquidé ou fusionné avec une autre société pour “tuer” la solution (pratique courante dans l’édition logicielle : les placards d’Oracle, de CA et de bien d’autres éditeurs en sont pleins).

Les organisations avisées – y compris les fournisseurs SaaS eux-mêmes – doivent comprendre et anticiper ces nouveaux risques. Choisir les bonnes options en amont et en aval pour protéger leurs opérations constitue désormais une question stratégique. Il devient urgent de s’en préoccuper.

LE RÔLE CLÉ DU TIERS DE CONFIANCE POUR LA CONTINUITÉ D’ACTIVITÉ

 Dans le contexte du SaaS, le recours à un tiers de confiance devient incontournable pour créer un plan d’urgence qui permet de :

 1. Fournir un accès indépendant aux données, même si le fournisseur cesse son activité,

 2. Bénéficier des données et permettre l’utilisation des applications,

 3. Assurer la continuité d’exploitation opérationnelle de l’application,

 4. Utiliser les applications SaaS pour une période prolongée pour évaluer les options de remplacement,

 5. S’assurer une fois le nouveau choix retenu que les données disparaissent des anciens serveurs.

  Réaliser toutes ces opérations nécessite de pouvoir s’accorder en totale confidentialité et en totale indépendance avec toutes les parties prenantes, sans jamais que le risque pour le prestataire de se voir piller sa technologie soit soulevé.

Sélection des fournisseurs SaaS : comment s’y prendre ?

ACHATSaaS(2)

Les bonnes pratiques de sélection des fournisseurs et de leurs activités sont mises à rude épreuve avec l’émergence du Cloud Computing dans les entreprises. Achète-t-on du SaaS comme du « On Premise » ?

Le processus d’achat et la gouvernance des achats IT sont bouleversés par l’arrivée du SaaS et du Cloud Computing ; entre les exigences fonctionnelles apportées par les métiers et les exigences non-fonctionnelles portées par la DSI (sécurité, urbanisation, intégration, continuité, etc.), les protocoles achats sont chahutés. Selon les circonstances et en fonction des forces en présence, le processus achat peut connaitre des destinées variées : de court-circuité à très allongés, mais également insatisfaisant si l’organisation ne fixe pas les enjeux internes de l’arrivée de ce nouveau modèle économique de services.

L’organisation doit donc mesurer l’impact du phénomène sur le processus d’achat et redéfinir les rôles et responsabilité du processus. Le protocole ne doit pas seulement s’arrêter à l’approvisionnement mais se poursuit tout au long de la vie du service contrairement au mode on-premise. Compte tenu de la criticité de ce changement sur le modèle On-Premise (externalisation d’infrastructure, de données, voire de processus utilisés dans la chaine d’exploitation de l’entreprise), il apparaît utile pour bénéficier sans risque du modèle SaaS de revoir les bonnes pratiques de sélection des fournisseurs spécifiquement dans le cas d’achat de solution SaaS.

L’étude de choix – un exercice à plusieurs dimensions

La première étape est de choisir une short-list de solutions répondant au besoin ciblé par les métiers, et non couverts jusque-là. Cette étape nécessite la mise en place d’une matrice fonctionnelle par les métiers de manière à identifier les exigences fonctionnelles attendues. Cette matrice devra être complétée par un indicateur de priorité fonctionnelle sur chaque fonctionnalité de type « incontournable », jusqu’à « accessoire ». Cette grille fonctionnelle permettra ainsi de sélectionner simplement les solutions SaaS du marché en s’appuyant par exemple sur des annuaires comparateurs de solutions de type appvizer par exemple.

La liste des doléances fonctionnelles doit être complétée de critères non-fonctionnels, qui s’étendent sur des domaines qui échappent aux experts métiers mais qui interviennent dans le champ d’expertise des équipes informatiques : la sécurité (l’organisme est-il certifié ? où sont localisées les données ?), la continuité (votre plan de continuité passera désormais par le plan de continuité du prestataire, aussi les questions relatives à la continuité du prestataire devront être abordées : les engagements de service prévoient-ils des engagements de résolution des incidents ? Les engagements de résolution sont-ils cohérent avec mon propre plan de continuité), la gestion et la protection des mots de passe, les niveaux d’habilitation disponibles. Ainsi, Rusty Weston, journaliste et chercheur, et Shahab Kaviani, Vice President du Marketing et des Ventes chez HyperOffice , leader dans la fourniture de solutions collaboratives [1]dans leur article « Saas Vendor Selection » donnent une approche concrète et systématique pour sélectionner les fournisseurs SaaS qui adressent exhaustivement les critères précités.

La méthode de sélection est à doser en fonction de l’impact métier du service acheté : certains outils SaaS peuvent bloquer votre production, là où d’autres ne bloqueront pas la production mais pour lesquels la perte de données s’avèrerait désastreuse pour l’image, pour l’innovation, voire les compétences de l’entreprise. Par conséquent les poids des caractéristiques de l’outil dans le choix doivent être remis dans le contexte d’exploitation et de son impact sur ce dernier.

Les critères de performance applicative (temps de réponse, fiabilité, maintenabilité, évolutivité), de montée en charge sont difficiles à mesurer lors de phase avant-vente, c’est pourquoi la période d’essai (de préférence gratuite) peut être cruciale et incontournable pour un service. D’autant plus lorsqu’on ne connait pas ces performances car nouveau sur le marché par exemple.

Les critères liés aux coûts d’acquisition de la solution et l’impact budgétaire (OPEX vs CAPEX) sont évidemment à prendre en compte et à mettre en relief des Engagements de services avancés par le prestataire.

Critère souvent délaissé dans les offres « on-premise », la pérennité financière du prestataire doit faire partie des critères, puisqu’en effet la disparition du prestataire peut aboutir à des situations douloureuses si aucun moyen d’anticipation n’est mis en œuvre. En cas de disparition du fournisseur, la rupture de service peut être rapide (sabotage des moyens par les employés, arrêt des paiements aux hébergeurs par le fournisseur et arrêt des infrastructures par l’hébergeur), avec comme conséquences des pertes d’exploitation puisqu’aucun moyen de reprise n’est disponible (l’ensemble des moyens est externalisé), perte de données sensibles.

La sécurisation des données et applications SaaS devient un enjeu majeur de l’achat IT.

Autre cas difficile à traiter, le rachat d’un éditeur par un confrère pour tuer sa solution. Cette pratique des éditeurs lors des rachats va sans aucun doute se perpétuer dans ce nouveau modèle SaaS, dont le marché est à ses débuts et est très atomisé. Sans anticipation, le client est sous le joug du repreneur; le fournisseur peut imposer une migration forcée au client. Cette dernière situation prend une tout autre ampleur dans le SaaS comparé au mode au-premise où le client pouvait à ses risques et périls continuer d’utiliser la solution sans contrat de maintenance. Des outils juridiques et opérationnels peuvent être mis en place pour sécuriser une solution SaaS et assurer la continuité dans ce cas de figure.

La sélection des candidats.

La phase suivante est de rencontrer les prestataires et aborder la phase de démonstration et de cotation des critères sur la base des interviews et des démonstrations des fonctionnalités de l’outil.

Comme la relation SaaS est une relation de long terme, il est nécessaire de bien appréhender le démarrage de la relation commerciale.

Ainsi le processus de vente avancé par le prestataire devra se rapprocher d’une vente conseil, avec une phase d’essai pilote de préférence gratuite. Si tel n’est pas le cas, il est probable que vous soyez face à un éditeur qui n’a pas intégré la dimension « as a service » et de relation sur le long terme, et qui a probablement « Saasifié » une offre On-premise pour surfer sur la vague du SaaS sans en avoir les caractéristiques (c’est un fake !).

Ce type de premier indice devra alerter l’acheteur ou le sponsor du projet d’adoption de la nouvelle solution. Cela ne veut pas dire qu’il faille écarter la solution, mais il faudra dans la négociation obtenir une période d’essai, et vous faire accompagner d’un expert SaaS sur les aspects contractuels.

Le Proof On Concept une étape déterminante pour les applications SaaS

A l’issue de ce premier exercice de sélection, une short-list obtenue sur la base des premiers résultats fondera le socle de la phase suivante qui consiste à évaluer en profondeur la solution par une expérimentation « au pied de la bécane ». Cette étape est indispensable pour mesurer l’écart entre vision commerciale et vision opérationnelle.

Un exercice pratique de validation de la bonne couverture des critères ne doit pas se limiter aux critères fonctionnels, mais s’étendre aux critères non-fonctionnels exposés ci-avant et également aux critères d’intégration de la solution SaaS avec le SI actuel. Les problématiques des interfaces ne sont pas à sous-estimer, d’autant plus dans cette période d’explosion des moyens de communication mobile avec le SI (smartphone, tablette …).

Concernant les réelles capacités opérationnelles du prestataire en termes d’engagement de services, de continuité, de disponibilité, de sécurité, s’arrêter aux informations communiquées par le prestataire vous expose à des risques de désillusion, qui peuvent se transformer en rejet de la solution post-déploiement.

La solution sur ces thématiques passe par les fourches caudines de l’assurance qualité fournisseur (AQF). A ce jour, contrairement aux achats de biens matériels entrant dans la composition d’un produit manufacturé, l’AQF entre peu à l’ordre du jour dans le domaine de l’achat de prestations SaaS voire IT.

A titre d’exemple, la disponibilité de service est l’indicateur de disponibilité mis en avant par le prestataire. Il est généralement issu d’un calcul qui peut être réalisé d’une multitude de façons. En outre, en l’absence de calcul du SLA par un tiers de confiance, la fiabilité de calcul et l’objectivité de la mesure d’atteinte du SLA peuvent être remises en cause. Beaucoup de controverses sont attribuées à juste titre à ces indicateurs et les surenchères des prestataires qui relèvent parfois « d’un grand n’importe quoi », entre mesure « derrière le serveur » et mesure « au pied de la machine » des clients, les écarts peuvent fluctuer entre vision fournisseur et vision client. Pour parer à cet obscurantisme sur les mesures de SLA il convient soit d’imposer la mesure du SLA par un tiers de confiance, soit de faire auditer la chaîne de calcul de l’indicateur afin de se rassurer sur cette dernière. Cette pratique est également plus efficace pour faire pression sur le fournisseur que de mettre en place un système de pénalités (comme l’on en croise parfois) sans en spécifier la méthode de mesure, et sans déployer en interne les moyens de suivi ; et ensuite perdre du temps de négociation des pénalités avec le fournisseur parce que les utilisateurs ne sont pas satisfaits des performances… La transparence du fournisseur sur les méthodes de mesure forment également des signaux et des critères de choix : une communication mensuelle de l’atteinte des objectifs de service par un tiers de confiance de manière spontanée renforce la confiance envers le fournisseur à l’inverse d’une communication sporadique et sur demande du client.

A l’issue de la période d’essai des solutions, la décision d’achat peut être faite sur la base des résultats des travaux, cette décision faite de concert entre acheteurs, représentants métiers et DSI.

Une évaluation continue et une surveillance

Audit, mesure de la couverture des besoins, Proof of concept sont autant d’outils pour ne pas faire d’impair dans le choix d’un fournisseur SaaS. Ces outils permettent de déclencher le choix dans un cadre méthodologique assurant un choix se basant en partie sur des critères rationnels, et tangibles.

A l’inverse d’un achat on-premise sur un mode plutôt ponctuel, le Retour sur investissement de la solution est plus difficile à mesurer puisque les moyens sont externalisés. Aussi les indicateurs de performance de la solution sont à passer en revue à fréquence établie avec le fournisseur ; ainsi que les signaux faibles de sur ou sous-utilisation du logiciel. Les indicateurs de performances sont à extrapoler de l’exercice de sélection, les critères sont à mesurer dans une vision continue, puisque dépendant d’une infrastructure matérielle et logicielle qui échappe aux équipes IT.

Les risques liés à la disparition nécessitent une surveillance financière et opérationnelle du fournisseur ainsi de la qualité de sa trésorerie. D’autres informations de marché préfigurent également de bons indicateurs de la santé de l’entreprise.

La fin de service doit être anticipée (la réversibilité telle qu’est appelée dans le vocable informatique). La méthode d’extraction des données pour permettre l’injection de ces données dans un autre système doit être abordée dès le début de la relation pour connaitre les moyens mis en œuvre par le fournisseur, le format des données reversées, et son délai. Toutes ces exigences doivent être émises au fournisseur, testées et présentes au contrat. Sans ces diligences, la migration vers une autre solution SaaS peut être perturbée par les caractéristiques de la solution initiale (impossibilité contractuelle, format de données non-standard, non normalisé).

 

Conclusion

Le nouveau mode économique SaaS bascule l’acheteur au centre de la gestion des risques de l’entreprise, et de la continuité d’exploitation du système d’information. La bonne préparation des acheteurs à ce nouvel environnement est essentielle. Les acheteurs vont être partenaires de la vision utilisateur et de la vision DSI. S’ils le sont déjà, ce phénomène va s’amplifier puisque l’émergence du SaaS et du Cloud Computing facilite l’achat par la Direction Métier sans concertation avec la DSI (cf. Shadow-IT). Le positionnement de l’acheteur doit former un rempart aux déviances de ce phénomène et éliminer les risques de produit « toxiques » ou « inintégrable » avec les autres pans du Système d’information. L’acheteur est également un maillon fort de l’innovation puisque caractériser une solution SaaS en respectant les règles précédentes ouvre des choix vers des startups du numérique. Le processus formalisé du suivi et de la surveillance permettra de bénéficier du modèle SaaS innovant en encadrant les risques inhérents.

La sélection des fournisseurs Saas dépasse le cadre de l’achat « On Premise ». Elle nécessite d’être renforcée compte-tenu de la nature du service achetée et des risques inhérents à l’externalisation de la maitrise des données, et des infrastructures.

L’acte d’achat nécessite la mise en place en amont d’une équipe pluridisciplinaire avec des compétences métiers, IT, Achat, Juridiques et d’Analyse financière. L’assurance Qualité Fournisseur doit intégrer le monde de l’IT des solutions en mode as a service pour opérer le tri nécessaire à la sélection de solution de confiance, et de transparence sur les engagements de service. L’assurance qualité fournisseur ne s’arrête au premier audit, mais doit être à l’affut des informations de marché des rapprochements, des difficultés financières et opérationnelles… Ces informations sur le fournisseur font parties des signaux à surveiller tout au long de la relation, et cette surveillance dépasse là aussi le cadre stricte de l’assurance qualité.

L’achat de solutions SaaS redistribue les cartes de la gouvernance achat IT et, l’achat SaaS s’apparente à la mise en place d’une externalisation et d’un partenariat, dont une analogie peut être esquissée avec ce que l’industrie automobile a mis en place avec ses sous-traitants de rang 1. Ce n’est plus un acte simple d’achat, mais un acte stratégique d’entreprise qui se structure par la mise en place de processus de sélection et de surveillance suivi durant toute la relation : une véritable gouvernance.

 

Christophe POUDRAI- Responsable de la Notation – exaegis

[1] A Systematic Approach to Selecting a Software-as-a-service Vendor (http://www.hyperoffice.com/saas-reviews-for-smbs)