Simple évolution du désormais traditionnel modèle ASP (Application Service Provider) pour certains, nouveau modèle de consommation des services IT s’appuyant sur les caractéristiques du Cloud-Computing et du Web 2.0 pour les autres, la réalité business associée à la vague SaaS (Software as a Service) n’est plus à démontrer et va modifier la donne sur les futures évolutions des Systèmes d’Information des entreprises.
D’après le cabinet Gartner, le marché SaaS aurait pesé approximativement 5 milliards de dollars dans le monde pour l’année 2007, affichant une croissance supérieure à 20% avec des perspectives économiques, en terme de chiffre d’affaire, plus qu’alléchantes puisque pouvant potentiellement doubler d’ici 2011.
Suivant que l’on appréhende le domaine du CRM, ERP, SCM, ou encore des applications dites communicantes/collaboratives tel que le e-Learning ou la Web Conference, les déclencheurs amenant à une approche SaaS peuvent être multiples et variés, les principaux bénéfices autour de ces solutions étant :
- la rapidité de déploiement limitant voir annulant les contraintes (temps et couts) d’intégration techniques et fonctionnelles dans les SI, et assouplissant les problématiques de gestion au jour le jour parfois complexes des solutions dites classiques
- la flexibilité répondant ainsi plus aisément à la volonté du « On-demand »
- l’évolutivité et l’amélioration continue gommant massivement les problématiques de versioning, d’update et d’upgrade
- la réduction des couts offrant l’opportunité de limiter les budgets d’investissement et de lisser le cout dans le temps en reportant sur les budgets de fonctionnement, tout en rationalisant les ressources humaines et matérielles
Ajouter à cela la recrudescence du nomadisme (personnel en mobilité) couplée à l’augmentation des besoins de disponibilité des données/applications, et on comprends mieux pourquoi la promesse du SaaS peut se révéler comme réellement pertinente. Ce n’est pas pour rien que de grands acteurs comme SAP, Microsoft ou encore Oracle ont pris le virage SaaS, dans les traces d’un Google historiquement ancré sur ce marché ou d’un SalesForce.
Si le SI est avéré comme l’épine dorsale de l’entreprise moderne, la donnée, elle, en représente la substantifique moelle. Le schéma de pensée, qui conduit à accepter la dématérialisation (virtualisation, voir mutualisation) d’applications et la délocalisation d’une partie de son actif numérique dans le nuage - comprenons des données ayant un caractère plus ou moins sensible tel qu’une base tarifaire négociée, des informations sur des contrats clients ou encore des documents relatifs à un savoir-faire se présentant comme concurentiellement différentiant pour la société - n’est de prime abord pas trivial à embrasser pour une entreprise, même si simplicité, rapidité et économie d’échelle semblent être à la clef. L’externalisation de cet actif numérique amène donc toute DSI à se poser un certain nombre de questions légitimes autour de la sécurité avant de se lancer dans un projet de type SaaS.
Quels sont les engagements techniques, fonctionnels et organisationnels pris par le prestataire fournisseur de solutions SaaS pour assurer la confidentialité, l’intégrité et la disponibilité des informations que je lui délègue et des applications mises à disposition ?
Quelles sont les garanties apportées ? Quel niveau de confiance puis-je avoir ?
Quelques interrogations à avoir :
- se poser la question sur les éléments mis en œuvre pour garantir le cloisonnement ; la mutualisation des ressources inhérente au Cloud-Computing, et donc au modèle SaaS, entraine inévitablement une cohabitation des informations.
- se poser la question sur les moyens déployés permettant d’assurer une accessibilité maximale des données externalisées ainsi qu’une disponibilité permanente des applications. De façon connexe, se poser la question sur la protection de l’infrastructure ainsi que celle des datacenters.
- se poser la question, en particulier dans le cas de prestations de stockage, de sauvegarde ou d’archivage, sur les mécanismes utilisés pour assurer le chiffrement des données ainsi que leur redondance (réplication sur du multi-supports, sur du multi-sites) et leur accessibilité. Se demander aussi comment s’effectue la restauration des données, dans quel délai et sous quel format.
- se poser la question sur la localisation géographique finale des applications/données et des réglementations applicables, suivant les pays ou les secteurs d’activité. Le propriétaire des données reste responsable de son matériel numérique et doit pouvoir le mettre à disposition ainsi que les logs d’accès (traçabilité) en cas d’audit ou de procédure judiciaire.
- se poser la question sur les profils des personnes (chez le prestataire) accédant aux informations externalisées ainsi que leurs droits d’accès, leurs privilèges, leurs qualifications, leurs niveaux de certifications, ainsi que la politique de sous-traitance (pays impliqué(s), turnover, …).
- se poser la question sur la gestion d’incident et de crise, plus spécifiquement sur la chaine de responsabilité, les processus et moyens mis en œuvre ainsi que la déclinaison des SLAs et autres garanties associées.
- se poser la question sur la viabilité du prestataire SaaS qui doit apporter des garanties sur la stabilité de son business : dépôt de bilan, banqueroute ou rachat par une tierce-partie sont des risques à identifier en amont. Une définition contractuelle précise évitera sans aucun doute les litiges sur les données initialement confiées, les modalités de restitution des informations devront être clairement détaillées.
- ...
On s’aperçoit rapidement qu’une réflexion sur la sécurité est absolument essentielle. L’outsourcing entraine de facto un couplage fort avec le fournisseur de solution, et in fine, une réelle dépendance vis-à-vis du service rendu. Reposer une partie de son activité sur des solutions dans le nuage peut entrainer de lourdes conséquences pour l’activité d’une entreprise en cas de déficience partielle/d’incapacité totale du prestataire SaaS à rendre le service.
Ce jeu de questions, très macroscopique, n’a aucunement la prétention d’être exhaustif. Juste rappeler que dans tout projet, il convient de réfléchir dès le début sur la problématique sécurité. A postériori, cela s’avère généralement délicat à appréhender puisque devant prendre en compte les contraintes existantes et peut se révéler très onéreux. A bon entendeur …
nsp