Gartner : comment limiter les risques liés aux modèles Saas

Une note d’analyste de Gartner dresse une liste de 10 recommandations pour éviter aux entreprises d’être confrontés à certains risques induits par le Saas

Le Saas a beau faciliter la mise en place et l’achat d’application dans l’entreprise, ce modèle de distribution impose de suivre des règles précises pour limiter les risques et garantir une exécution optimale, rapporte le cabinet d’étude Gartner dans une note de l’analyste Robert Desisto. Selon lui, en perdant une partie du contrôle des applications (on parle de Shadow IT) au profit des départements métiers, les entreprises ainsi que les responsables des applications ont oublié en route toute une série de contraintes clés, sous le couvert de la simplicité du Saas.

Par exemple, « le SaaS a entraîné un glissement du contrôle des applications d'entreprise des responsables informatiques qui soutiennent les activités vers les responsables de secteur d'activités, conduisant souvent à des contrats médiocres et à des problèmes opérationnels », précise Robert Desisto. A ce problème s’ajoutent d’autres, poursuit-il, comme l’absence d’objectifs de reprise après sinistre et de récupération de données suffisamment clairs et stipulés, ou encore des scénarri d’usages mal évalués par les directions métiers, débouchant sur « des achats en quantités excessives et à des dépenses supérieures en raison de modes de consommation mal modélisés ».

Contrôler la propriété intellectuelle

Dans sa note, Gartner liste une série de recommandations à suivre pour limiter justement les risques liés aux aléas du modèle Saas en entreprise. Le cabinet recommande donc de veiller « au traitement approprié de la propriété intellectuelle dans le Cloud ». Selon Robert Desisto, les responsables informatiques doivent « évaluer si le transfert de certaines applications et données dans le Cloud est envisageable. D'autres problématiques peuvent déterminer dans quelles "juridictions" la propriété intellectuelle doit rester (par exemple, si elle doit rester dans le pays d'origine de la base d'utilisateurs principale de l'application d'entreprise de SaaS) pour se conformer aux impératifs réglementaires ». Il convient également de savoir à qui revient la propriété des processus établis sur la plateforme Saas.

Evaluer les coûts réels, les performances et le dimensionnement

Autre point clé souligné par Gartner, l’évaluation des coûts totaux sur 5 ans. Un processus que l’entreprise doit suivre car selon lui, « les responsables informatiques se laissent séduire par le fait que les coûts des premières années seront inférieurs à ceux d'une solution équivalente sur site. Après trois ou quatre ans, ils découvrent que leurs dépenses dans les SaaS sont en réalité plus élevées que ce que leur aurait coûté le déploiement sur site équivalent ».

« Par exemple, de nombreux responsables informatiques qui prennent en charge les applications

d'entreprise supposent à tort que le SaaS fait diminuer les dépenses par rapport aux effectifs. La réalité est que la plupart des entreprises ne réduisent pas leurs effectifs ; elles ne font que déplacer le pourcentage d'équivalents temps plein, ce qui n'entraîne que des économies très limitées », illustre Robert Desisto.

Documenter les SLA

Dans ce même ordre d’idée, Gartner recommande d’évaluer les capacités de dimensionnement  et les performances du prestataire Saas. « Il revient au client du SaaS de s'assurer que le prestataire de SaaS fournit les preuves suffisantes (par la présentation de références de clients ayant des impératifs similaires) que ses plateformes évolueront pour s'adapter au pic de traitement des applications actuel et futur, ainsi aux exigences des utilisateurs. » Gartner insiste aussi sur la nécessité d’inscrire explicitement dans le contrat des garanties de niveau de services appropriés, comme un temps de disponibilité en pourcentage, par exemple. Dans cas de non-respect du SLA, des sanctions financières peuvent être prévues, poursuit-il.

Alignement des politiques de sécurité, PRA et stratégie de sortie

Sécurité et protection des données sont également listées par Gartner. Le cabinet recommande de s’assurer que les processus de sécurité des prestataires répondent aux standards de l’entreprise, et surtout d’inclure ces dimensions  dans les premiers processus d’évaluation du prestataire. Les capacités de PRA (plan de reprise après sinistre) doivent également être prises en compte. « Les clients SaaS ont souvent un faux sentiment de sécurité, parce qu'un prestataire de SaaS décrira son plan de reprise après sinistre, mais il ne fournira pas forcément des preuves spécifiques de tests réguliers de son plan, pas plus qu'il ne s'engagera à gérer des objectifs de niveau de service spécifiques basés sur des RTO et des RPO », rappelle Robert Desisto, qui dans la foulée évoque également le plan de sortie ainsi que les coûts associés qui doivent inévitablement pris en compte.

Contrôler les usages

Attention enfin, précise Gartner, à ne pas céder aux sirènes des remises promises par les offres Saas, remises calculées en fonction d’un nombre toujours plus élevé d’utilisateurs. Il convient de modéliser avec justesse les schémas de consommation et de les suivre, recommande Robert Desisto. « Les prestataires de SaaS inciteront souvent à la vente pour un plus grand nombre d'utilisateurs que ce dont un consommateur de SaaS a besoin ou une capacité de stockage supplémentaire pour les données. Le consommateur SaaS doit modéliser ses besoins en matière d'utilisation et de stockage sur deux à trois ans », explique-t-il.

 

 

 

Pour approfondir sur SaaS