Que faire si mon prestataire « as a service » disparaît ?

En entreprise, près d’un logiciel sur trois est désormais utilisé en mode Software as a Service. Mais que faire en cas de cessation d’activité de son prestataire ? Il devient urgent de se soucier des risques associés à ces nouvelles solutions. Jusqu’à mettre en place un plan de secours adapté.

Les applications et services Cloud séduisent. “L’informatique en nuage”, c’est la promesse pour les entreprises de rationaliser leurs opérations et de contrôler leurs coûts informatiques. Voire de mettre les deux pieds dans l’économie numérique. Cependant, confier des applications et des données critiques à un tiers n’est pas sans danger. Face à la croissance continue des activités SaaS, il est capital de comprendre les risques potentiels de ces solutions et d’anticiper les dangers pour les atténuer.

Trois logiciels sur dix : le taux d’adoption du SaaS s’envole !

L’usage du SaaS a plus que doublé au cours des sept dernières années. On évalue aujourd’hui la répartition du portefeuille logiciel en entreprise à 70 % sur site et 30 % en mode Saas (ce taux se situait aux environs de 10 % en 2008). De plus, cette croissance ne montre aucun signe de ralentissement : la plupart des DSI adoptent de plus en plus d’applications et de services SaaS. Ils n’ont souvent pas le choix : le phénomène “shadow IT” (ou informatique fantôme) décrit justement le contournement de la DSI par des utilisateurs impatients qui s’équipent directement sur Internet. Mais sans en référer à quiconque et avec tous les risques que cela comporte pour la sécurité du système d’information.

Que se passe-t-il quand un prestataire SaaS disparaît ?

Les responsables informatiques considèrent qu’il est plus risqué d’utiliser une application en mode SaaS que sur site (ou on-premises). Par conséquent, il est très important – voire critique – que tout fournisseur SaaS dispose de son propre plan de secours et permette l’accès continu aux applications et données de ses clients. En outre, il doit pouvoir autoriser la sauvegarde de ces mêmes données, à la demande ou selon une synchronisation régulière. Pourtant, ce type de prestation est rarement prévu dans le cadre d’un contrat SaaS. Une question cruciale se pose donc : que se passe-t-il quand un prestataire SaaS disparaît ?

Crash Test exaegis

Si on déroule les événements qui précèdent et succèdent à un dépôt de bilan d’un prestataire SaaS, les points de contrôle ci-dessus deviennent rapidement obsolètes : un dépôt de bilan est entraîné par un manque chronique de trésorerie, elle-même conséquence d’insuffisances opérationnelles ou commerciales. Ce qui peut pouvoir également signifier que le plan de continuité du prestataire n’est pas opérant ou que ses fournisseurs n’ont pas été payés. Bref, l’interruption de service n’est pas très loin. La dégradation va s’accentuer durant la période d’observation, synonyme de départ des compétences critiques. Et, bien évidemment, en cas de liquidation, plus rien ne résiste.

Couvrir le risque de défaillance de son prestataire

Or, le Saas signifie que l’on est client d’un service et non d’une licence. Dès lors que l’on souhaite assurer son plan de continuité intégrant du SaaS, il convient de couvrir le risque de défaillance de son prestataire. Ce qui signifie trouver un plan d’urgence qui assure la continuité des activités pour les applications SaaS critiques. Ce plan doit couvrir le risque de disparition du prestataire. Cela implique très en amont, dès la phase achat, des modalités qui dépassent la simple stratégie propre de continuité d’activité. Bien prévoir dans les contrats une clause de réversibilité réellement opérationnelle et pas seulement financière puis surveiller l’évolution du prestataire durant la vie du contrat deviennent des composantes incontournables d’encadrement du risque de défaillance. Le plan de continuité du client dépasse de très loin celui de son fournisseur, car lorsque ce dernier disparaît son PRA (plan de reprise d’activité) disparaît avec lui. Si le fournisseur sombre définitivement, l’accès à la fois aux données et à l’application est coupé…

Idéalement, il faudrait, en SaaS, être propriétaire de la licence, de l’hébergement, des données et de la maintenance… en résumé, comme sur site ! Ce que refusent les éditeurs SaaS pour des raisons évidentes de modèle économique. Ce risque de disparition du prestataire ne doit pas signifier qu’il faut pour autant abandonner toute idée de passer au SaaS : le “nuage” offre des avantages indéniables. Toutefois, dans un marché volatil et en croissance permanente, les entreprises doivent se préparer à la possibilité que leur fournisseur SaaS soit liquidé ou fusionné avec une autre société pour “tuer” la solution (pratique courante dans l’édition logicielle : les placards d’Oracle, de CA et de bien d’autres éditeurs en sont pleins).

Les organisations avisées – y compris les fournisseurs SaaS eux-mêmes – doivent comprendre et anticiper ces nouveaux risques. Choisir les bonnes options en amont et en aval pour protéger leurs opérations constitue désormais une question stratégique. Il devient urgent de s’en préoccuper.

LE RÔLE CLÉ DU TIERS DE CONFIANCE POUR LA CONTINUITÉ D’ACTIVITÉ

 Dans le contexte du SaaS, le recours à un tiers de confiance devient incontournable pour créer un plan d’urgence qui permet de :

 1. Fournir un accès indépendant aux données, même si le fournisseur cesse son activité,

 2. Bénéficier des données et permettre l’utilisation des applications,

 3. Assurer la continuité d’exploitation opérationnelle de l’application,

 4. Utiliser les applications SaaS pour une période prolongée pour évaluer les options de remplacement,

 5. S’assurer une fois le nouveau choix retenu que les données disparaissent des anciens serveurs.

  Réaliser toutes ces opérations nécessite de pouvoir s’accorder en totale confidentialité et en totale indépendance avec toutes les parties prenantes, sans jamais que le risque pour le prestataire de se voir piller sa technologie soit soulevé.

Exaegis se renforce dans les services M&A avec Eurohold

L’agence de notation et de garantie opérationnelle du numérique Exaegis étoffe son offre de services pour les dirigeants et entrepreneurs du numérique en s’alliant avec un spécialiste européen du conseil en fusions et acquisitions (M&A, Mergers and Acquisitions). La société dirigée par Laurent Briziou signe en effet un accord de collaboration avec l’espagnol Eurohold, son dirigeant Jean-François Alandry, et son Managing Partner France, Bernard Demode, acteur majeur du Corporate Finance en Europe. L’accord va permettre à Exaegis de s’associer avec le réseau d’Eurohold installé sur tous les continents, et d’accompagner ainsi ses clients du numérique dans leurs initiatives internationales. L’opération offre aussi l’opportunité à Eurohold, de renforcer son activité en France, où il est déjà présent à Paris et à Lyon, de consolider ses positions européennes et notamment françaises sur les segments de marché du numérique et du digital.

Lire la suite…

Accéder à un marché semi public grâce à la Garantie Opérationnelle exaegis

Startup

Business Case

Secteur d’activité : Startup SaaS dans le domaine de la Gestion de la formation

Taille : startup de 2 ans d’antériorité, CA de 150K€ (mais principalement en conseil), 8 collaborateurs

Contexte : une startup offrant des services de gestion de la formation des salariés présente une offre novatrice et très concurrentielle sur le plan tarifaire.

La DRH d’un organisme semi public, gérant 600 collaborateurs est intéressé par les fonctionnalités et l’ergonomie présentées par la jeune entreprise, en raison d’un ROI rapide. Le service « achats » et la Direction Informatique coincent pour entériner la commande : interrogation sur la pérennité du prestataire et devenir de la solution et des données en cas de disparition de la Startup.

Notre intervention : Audit et Notation de la startup par exaegis, qui conduit à la délivrance du label StarTRUXT. Sécurisation de la jeune pousse et souscription par le client de la Garantie Opérationnelle. L’audit a également mis en avant la nécessité de mettre en œuvre un PCI pour la startup.

Résultats : Suite à la lecture du rapport d’audit de la Notation (α2), rassuré par l’obtention du label StarTRUXT, le client a souscrit l’abonnement proposé par la jeune pousse pour ses 600 collaborateurs.

Tout en contractualisant en parallèle la garantie opérationnelle exægis de son nouveau fournisseur afin que la continuité de services soit assurée en cas du pire. La Direction informatique ayant donné son accord, la garantie financière de 15 M€ présentée par exaegis a levé les dernières réticences du « service achat » et la startup a remporté son premier marché d’importance avec une valeur de contrat de 112 K€ sur trois ans.

La startup intègre dans toutes ses nouvelles présentations son Label et présente la Garantie Opérationnelle sur toutes les dossiers supérieurs à 20K€.

Facteurs clé de Succès :

  1. La Direction Utilisatrice était un sponsor fort de la solution, qui présentait un ROI rapide
  2. Le rapport de Notation a mis en exergue sur le plan financier la qualité du business model et de son business plan. L’audit opérationnel a démontré une forte capacité d’exécution de la solution. La Notation obtenue a conforté les interlocuteurs clients dans leur choix et le « service achat » a considéré le prestataire avec plus de bienveillance.
  3. L’audit opérationnel a soulevé le besoin d’un plan de continuité informatique de la startup. Ce PCA a été construit dans le cadre de la sécurisation et exægis assure également le PCI de la jeune pousse.
  4. La Garantie Opérationnelle exaegis a permis de rallier la direction informatique au projet en permettant à la DSI de valider l’intégration de ce nouveau fournisseur dans son plan de continuité et surtout maitriser les données en cas de défaillance
  5. La réassurance exægis de 15M€ a levé les derniers doutes sur la chaine de responsabilité présentée par la startup et exægis.

Business Continuity : Préparer une défaillance d’un prestataire « as a service » non anticipée

BCDfaillancePrestataire(1)

Business Case

Secteur d’activité : Back Up as a service

Taille : 10 000 clients, un en cours de 15 M€ à sécuriser

Contexte : une entreprise de « Back up as a service » B2B ayant plus de 10 000 clients entre en procédure de sauvegarde. Cette procédure de sauvegarde conduit à un dépôt de bilan 3 mois plus tard et une liquidation judiciaire. Dans ce scénario, le loueur considère son encours en péril en raison d’un risque d’indivisibilité avéré ou d’une perte importante selon la négociation avec le repreneur.

Notre intervention : préparer une solution alternative de production en cas de liquidation judiciaire durant la procédure de sauvegarde

L’intervention d’exaegis à permis d’inventorier les composants de la solution, comprendre la chaine de production des services et maintenir la propriété intellectuelle. Les prestataires en mesure de reprendre le service ont été identifiés, et la mesure en amont du cout d’exploitation et de maintien de la solution ont permis la reprise au montant de la gestion pour compte définit par le loueur.

Résultats : reprise des encours par un repreneur au montant de la Gestion pour compte contractuelle – maintien total du service

Il n’y a pas eu de rupture de services et le paiement des loyers a été maintenu par les clients. Une fraction minime des clients ont contesté le transfert du service vers le nouveau prestataire, en dépit du maintien du service. Le maintien du service a permis un recouvrement musclé et efficace.

Facteurs clé de Succès :

  1. Expertise métier et marché du Numérique : compréhension du métier du prestataire et de sa chaine de production
  2. Expertise Reverse Ingénierie : construction d’une infrastructure de production
  3. Expertise juridique : maintien de la propriété intellectuelle
  4. Expertise marché du Numérique : contractualisation avec un Prestataire de secours
  5. Intimité et partenariat fort avec le loueur durant la phase de négociation avec le repreneur