Une réflexion juridique à engager : le cloud est un service, pas un outil !

Dans un contexte marqué par les cyberattaques, de nombreuses d'entreprises optent pour des solutions de cybersécurité en mode SaaS. Une évolution globale qui appelle à une évolution d'ordre juridique.

En cette fin d’année 2022, les entreprises comme les institutions semblent encore avoir pris un peu plus conscience de la cybermenace, et redoublent d’efforts en matière de cybersécurité. Ainsi, 40 % des entreprises ont récemment investi dans des solutions de protection, et 2 entreprises sur 5 ont augmenté leurs budgets cybersécurité. Cette évolution est particulièrement notable pour ce qui est des ETI (établissements de taille intermédiaire, entre 250 et 5 000 salariés), et s’accompagne d’un autre fait marquant : la disponibilité des solutions cybersécurité dans le cloud. Une montée en puissance qui n’est pas sans poser certaines questions, notamment d’ordre juridique.

Pour une approche juridique mieux ajustée

Les échanges de nature juridique qui se déroulent actuellement entre les acheteurs et les éditeurs prennent beaucoup de temps. Ils se caractérisent par des allers et retours parfois très longs entre les parties. En l’espèce, beaucoup observent que le raisonnement qui est tenu par les départements juridiques de certaines structures est celui qui prévalait lorsque la solution de cybersécurité était en mode on-premise. C’est une erreur d’appréciation culturelle qui est faite ici. On ne peut aborder une offre SaaS comme s’il s’agissait d’un logiciel appartenant à l’organisation elle-même. Pour le dire autrement, les contrats classiques ne conviennent pas aux solutions qui se trouvent actuellement déployées sur le cloud, et pour cause : le cloud est un service, alors que la dynamique on-premise était liée à un outil.

Les délais impactés

Ce déficit de compréhension pose des questions majeures, à commencer par celle des délais. Nombre d’éditeurs de solutions en cybersécurité constatent que les échanges sont parfois plus longs sur la partie juridique que sur la partie commerciale ou technique… Un comble lorsque l’on sait combien le temps de déploiement de solutions de cybersécurité est actuellement primordial, pour ne pas dire stratégique ! Ce qu’il faut bien avoir à l’esprit ici, c’est qu’une solution de type SaaS ne peut être individualisée à l’échelle d’une organisation. C’est le cas de nombreuses plateformes déployées sur le cloud, à commencer par Netflix par exemple, dont l’architecture est la même aux Etats-Unis, en Asie ou en Europe. Par nature, cette architecture n’est pas customisable, ce qui est précisément la plus-value de la standardisation en mode SaaS.

Des enjeux à relever de part et d’autre

Forts de ces constats, il existe aujourd’hui deux enjeux. Le premier se situe au sein même des entreprises. Le second est plus lié à l’approche des acteurs. Au sein des organisations, il existe actuellement une différence – parfois marquée – entre la compréhension légale de la cybersécurité déployée en mode SaaS et sa réalité technique. Il semble clair que les juristes ne sont pas tous assez formés techniquement, et se trouvent ainsi dans l’incapacité de traduire en droit ce que la technique produit. Quant aux collaborateurs qui travaillent du côté de la technique (les avant-ventes, les commerciaux, etc.), ils ont également une étape à franchir en termes de formation juridique. Pour eux aussi se pose une question de traduction en termes juridiques d’une réalité technique qu’ils connaissent bien. C’est donc bien un pas que les uns et les autres doivent faire afin de se rapprocher, et de trouver ensemble un terrain d’échanges. Du côté des acheteurs, un autre pas doit être franchi, lié à la manière de « consommer du software », spécialement en mode SaaS. D’une part, nous observons que les critères de choix qui sont retenus ne sont pas les bons ; d’autre part, nous notons que les modèles de coûts ne sont pas réactualisés. Là encore, il y a un peu de chemin à faire.

Pour autant qu’ils soient longs et parfois fastidieux, les échanges actuels – pour ne pas dire les débats – qui se déroulent sur le plan juridique témoignent d’une acculturation à l’œuvre. Nous sommes en chemin, et je ne doute pas un instant que nous parviendrons bientôt à mûrir collectivement sur ce plan là, comme nous l’avons fait sur le cloud ces derniers temps.