Cloud Computing : Équipes informatiques réduites et budgets restreints ; la gestion de l’informatique dans les PME s’effectue souvent dans un cadre très contraint. La tentation des services SaaS est donc grande. Quels sont les risques et les avantages ? Comment s’assurer de la sécurité de ses propres données dans ce contexte ?
Par Guillaume Serries | Mardi 22 Avril 2014
Pour des grosses PME, l’utilisation de services SaaS (Service as a software) peut correspondre à un moyen de basculer des budgets de Capex en Opex. A ce sujet, une étude TNS Sofres/Ipsos révèle que 48% des DSI jugent prioritaire l’augmentation de l’externalisation en réponse à leur besoin de diminuer leurs coûts.
Utiliser une solution de SaaS permet surtout de s’assurer en amont d’une tarification excluant les coûts cachés, et de ne payer que ce qui est réellement consommé, généralement sur une base d’unité d’oeuvre.
Côté marché, ces arguments semblent porter, puisque Pierre Audoin Consultants prévoit que la part du SaaS devrait atteindre 60% du marché de l’IT en France d’ici à 2020.
PUBLICITÉ
Et cette popularité ne se remarque pas uniquement dans les prévisions marché des cabinets d’analystes. De nombreux éditeurs orientent désormais tout ou partie de leur production sur ce modèle. En novembre dernier, SAP annonçait proposer ses solutions en mode SaaS en Chine. Et ici en France, les PME peuvent utiliser en mode SaaS des logiciels de ressources humaines, des solutions de sécurité informatique, ou encore des outils de HelpDesk sur ce même modèle.
Choisir une solution SaaS évolutive
Mais le SaaS n’est pas la solution miracle à tous les problèmes des responsables informatiques des PME.
Il faut “choisir une solution qui puisse facilement s’intégrer à votre système de gestion en interne” explique Christophe Rebecchi, de ReadSoft. Surtout, il faut se demander si la solution de SaaS choisie à un futur. “Est-elle évolutive ? Il est important de choisir une solution qui puisse évoluer avec votre société” remarque Christophe Rebecchi.
De fait, utiliser une solution de SaaS revient à déporter hors du périmètre du SI une partie du patrimoine informatique de l’entreprise. Attention à donc bien s’assurer que celle-ci ne freinera pas le fonctionnement de votre entreprise.
Mais au delà, c’est la question de la souveraineté de l’hébergement des données qui se pose. Jean-Cédric Miniot, délégué général d’Ibelem, se souvient du “cas d’une entreprise qui a effectué un proof of concept pendant plus d’un mois d’une solution mobilité en mode SaaS avant de se rendre compte qu’elle perdait son temps. En effet, la solution était hébergée à l’étranger alors qu’une des conditions sine qua none, non exprimée, était un hébergement en France”.
S’assurer de la confidentialité des données et de leur traitement
La Cnil formule à ce sujet plusieurs recommandations (PDF) pour aider les entreprises qui veulent s’assurer les services d’un prestataire de SaaS.
La première recommandation porte sur l’identification des données et des traitements utilisés par la solution SaaS. Données à caractère personnel, données sensibles, données stratégiques pour l’entreprise, données utilisées dans les applications métiers ; une classification stricte doit être opérée afin de s’assurer que ces données soient opérées par le service de SaaS en toute connaissance de cause.
Sur cette base, l’utilisation d’une solution de courrier électronique comme Gmail dans un cadre professionnel pose question : contenu des courriers et pièces jointes sont entièrement confiées à un prestataire. Avec quelles garanties de confidentialité ?
Surtout, la Cnil précise que certaines données, comme les données de santé, “ne peuvent être stockées que par un hébergeur de données de santé agréé par le ministère de la Santé”. Certaines données sont donc soumises à des contraintes règlementaires concernant leur hébergement. Un point à vérifier avant d’utiliser des solutions de SaaS.
Récupérer ses données en cas de rupture de contrat
Une seconde recommandation porte enfin sur la vérification des contraintes pratiques d’utilisation des solutions de SaaS. Disponibilité des données, réversibilité, portabilité, interopérabilité avec le système existant ; autant s’assurer que le niveau de qualité des prestataires est au niveau.
A titre d’exemple, la question de la réversibilité est cruciale : en cas de rupture de contrat, la PME se doit de bien vérifier qu’elle pourra non seulement récupérer ses données, mais surtout continuer à les utiliser avec un système différent.
Souveraineté et réversibilité des données sont donc deux facteurs à bien vérifier avant d’adopter une solution de type SaaS en entreprise.
