SaaS : intérêt et limites
Si les entreprises se sentent incitées à migrer vers le SaaS pour la rapidité de son déploiement, sa flexibilité et sa capacité de transformation a priori importante, des questions se posent quant à l'équilibre du modèle face à des enjeux grandissants sur la sécurité, la sobriété et la souveraineté numériques.
Déploiement, accessibilité et flexibilité
Le SaaS, ou Software as a Service, est un modèle de distribution où les applications sont hébergées par le vendeur. Le client achète donc un droit d’usage sans s’embarrasser du matériel serveur, de l’installation et du support. Ce concept, apparu au début des années 2000 avec le lancement du service hébergé de gestion de la relation client, représente aujourd’hui un marché en très forte croissance. Il prend une part de plus en plus importante dans le budget des SI et touche d’autres domaines au-delà du CRM : finances, capital humain, ERP, achats, etc.
Dans un modèle SaaS, les phases de build sont extrêmement réduites, à condition que l’intégration soit prévue pour gérer les adhérences avec le reste du SI. Dans ce sens, des solutions de type iPaaS (plateforme d'intégration en tant que service) permettent d’assembler plusieurs briques SaaS et d’assurer l’adhérence avec les applications legacy.
Les solutions sont flexibles, avec la possibilité d’en tester plusieurs, et les premiers déploiements génèrent souvent une grande satisfaction, surtout lorsque le logiciel SaaS correspond exactement au besoin de l’entreprise.
S’il y a nécessité d’adaptation, et dans un souci de faire cohabiter le modèle SaaS avec le développement spécifique, il est intéressant d’assurer l’interaction des applications legacy avec le SaaS tout en gardant une indépendance de la solution “cœur” dont la roadmap ne viendrait pas, ainsi, perturber le rythme des développements spécifiques.
Aussi, comme l’entreprise n’a plus besoin de procéder à des installations ou des mises à jour de logiciels (tâches effectuées sur les serveurs du fournisseur), les utilisateurs peuvent bénéficier d’un logiciel toujours fonctionnel, à jour par rapport aux évolutions réglementaires et légales, et accessible de tout endroit et à tout moment à la seule condition de disposer d’une connexion internet.
Capacité transformationnelle et réduction des silos
Le SaaS permet de challenger les solutions en place, voire les équipes et les processus existants. Son utilisation peut être un vecteur clé de transformation du SI et de l’entreprise, au travers des capacités innovantes qu’il offre par rapport à des solutions déployées sur site. De plus, les bénéfices de l’adoption du SaaS dans un domaine fonctionnel peuvent être étendus en intégrant d’autres écosystèmes SaaS, éventuellement eux aussi nouveaux pour l’entreprise, afin de porter la collaboration vers une dimension jusqu’alors inexplorée par l’entreprise.
Dans le domaine de la relation client, par exemple, le SaaS peut permettre de bénéficier d’une perspective 360° du client en intégrant des technologies de réseaux sociaux SaaS pour améliorer le parcours client. Ou même d’aller jusqu’à une perspective 720° en intégrant l’image que les clients ont de l’entreprise.
Modèle de consommation et sobriété numérique
En termes de couverture fonctionnelle, il est important que l’entreprise cliente cadre bien ses besoins en amont pour ne pas se retrouver à utiliser un véritable couteau suisse quand le besoin vital est celui d’une simple paire de ciseau. Le modèle SaaS est de nature à pousser à la consommation et on peut se retrouver vite à vouloir surenchérir en imaginant accessible une solution à la fois trop couvrante et ne répondant pas vraiment au besoin initial.
D’un point de vue environnemental, une vague dite de green cloud computing s’intéresse à l’évaluation et la réduction de l’empreinte carbone du cloud. Avec des techniques à la fois logicielles (ex. la virtualisation et mutualisation de la puissance de calcul) et matérielles (ex. le refroidissement des datacenters, et l’utilisation de processeurs moins énergivores). Il est toutefois à souligner que ces gains environnementaux risquent d’être annulés par une augmentation effrénée des usages du cloud, provoquée par la surconsommation en question (paradoxe communément appelé “l’effet rebond”).
Rapport de force avec les fournisseurs et équilibre du modèle d’affaires SaaS
Le modèle d’affaires des fournisseurs SaaS, motivé naturellement par des stratégies visant la rentabilité et le profit à plus ou moins long terme, peut conduire, en situation de monopole, à l’adoption de pratiques commerciales dommageables pour le client, pouvant aller jusqu’à l’étranglement tarifaire des entreprises utilisatrices. Ceci est vrai aussi bien pour les géants du numérique (AWS, Google Cloud, IBM, Microsoft, Oracle, Salesforce, SAP) que pour de plus petits acteurs du cloud très spécialisés.
Ce type de pratiques, observé dans les faits, est régulièrement critiqué par le Cigref et d’autres associations d’utilisateurs de services numériques. Il consiste en un modèle de contractualisation et de tarification axé davantage sur l’augmentation du volume de souscriptions et de licences que sur les services de conseil et la valeur réelle pour le client, par le biais d’un paiement à l’usage. Et ce d’autant plus qu’il est difficile de sortir de cette dépendance autrement qu’en mode on/off avec ce type de solutions, ce qui est très compliqué et coûteux (change costs).
Enjeux de sécurité et de souveraineté numérique
Dans un contexte réglementaire évolutif, notamment depuis la mise en place du RGPD, nombre d’organisations utilisatrices ne sont toujours pas satisfaites de l’interprétation faite par leurs fournisseurs à la conformité au RGPD ou aux autres réglementations relatives à la confidentialité de la donnée, et considèrent que celle-ci ne répond pas à leurs exigences sur les plans contractuel et opérationnel.
Un point d’attention est la localisation géographique des données sensibles, en prenant garde également à la gestion des accès à ces données y compris en mode administration. On peut observer cependant que le mode SaaS présente des avantages sécuritaires par rapport à une solution on-premise : l’accès aux données est plus systématiquement contrôlé. L’utilisation de cloud hybride est également une approche intéressante : on choisit où positionner les données en fonction de leur sensibilité.
Il ne faut cependant pas s’attendre à ce que le fournisseur s'engage à garantir l’imprévisible. Une négociation responsable est nécessaire sur les périmètres critiques pour prévoir risques et parades dans des conditions de résultats et d’engagements de moyens raisonnablement plafonnés et non facilement sujets à contestation ultérieure.
Dans l’idéal, une fois les risques encourus identifiés, une bonne pratique est d’intégrer les exigences de sécurité légales et réglementaires dans le contrat avec l’éditeur de la solution SaaS sous forme d’un SLA (service level agreement). Or, ce n’est pas toujours aisé. On remarque une marchandisation de la sécurité par certains fournisseurs SaaS, qui ne l’intègrent pas by design aux services numériques mais la proposent comme option payante.
Ces problématiques de sécurité et parfois de distorsion de concurrence ouvrent le débat en Europe et en Afrique sur les alternatives aux GAFAM (Google, Apple, Facebook, Amazon et Microsoft) et son équivalent chinois BATX (Baidu, Alibaba, Tencent et Xiaomi). Quelles solutions s’offrent aux entreprises pour adresser les enjeux de souveraineté numérique, d’autant plus accentués par la crise Covid-19 ?
Vers des voies alternatives ?
Au regard des enjeux économiques, sociaux et environnementaux auxquels les entreprises du numérique font face aujourd’hui, il y a un besoin d’évoluer vers un écosystème de pratiques et modèles plus équilibrés, et davantage de partenariats gagnant-gagnant entre clients et fournisseurs. La voie de l’open source est l’une des pistes alternatives qui s’ouvrent sur le marché. A titre d’exemple Cheops Technology, spécialiste du cloud computing en France, a lancé récemment un automate de migration des bases de données Oracle vers son équivalent PostGreSQL. Il est à noter, toutefois, qu’il est relativement facile de trouver des solutions techniques, voire des commodities simples, en open source mais que cela reste plus questionnable sur des solutions de plus haut niveau de valeur ajoutée métier, comme une GRC par exemple, surtout pour de grandes organisations.
Enfin, les développements in-house constituent une autre voie de plus en plus adoptée par les entreprises en recherche d’alternatives pour déployer des solutions à coûts maîtrisables, tout en gardant la propriété de leurs solutions et la capacité à les valoriser sur le marché. Mais n’était-ce pas justement ce qu’on voulait éviter en adoptant des solutions SaaS ?
Une bonne pratique est assurément d’éviter de réinventer la roue. Idéalement en partant de briques existantes pour les socles de base de manière à ne développer in-house que ce qui reste spécifique et à valeur ajoutée business.
Une autre bonne pratique est d'investir dans le cloud hybride pour classer et adresser spécifiquement les risques sécuritaires et exigences en matière de conformité et d’audit.
L’open source fournit dans les deux cas des briques technologiques et/ou fonctionnelles très utiles. Quitte à participer aux projets pour assurer leur évolution dans le sens souhaité... et jouer le jeu d’un écosystème vertueux en contribuant au pot commun.
Auteurs : Soha Benchekroun et Vincent Hanniet