Le rapport HYCU 2025 sur la résilience du SaaS dresse un constat sévère : alors que les applications cloud se multiplient, les pratiques de protection restent lacunaires. Plus encore, l’arrivée massive de l’IA recompose le périmètre même du SaaS et complexifie la gouvernance. Un enjeu central pour les entreprises, confrontées à une explosion des risques et à une responsabilité mal partagée.
Depuis vingt ans, le SaaS s’est imposé comme le moteur de la transformation numérique des entreprises. CRM, collaboration, stockage, productivité : autant de briques externalisées qui ont permis d’accélérer la digitalisation et de démocratiser l’accès à des applications critiques. Le rapport 2025 de HYCU, le spécialiste de la protection et de la résilience des données en environnement cloud et SaaS, montre que cette dynamique ne s’essouffle pas, bien au contraire. Pourtant, derrière l’apparente maturité de ces usages, les fragilités structurelles se multiplient.
Une évolution encore peu mesurée bouleverse aussi le périmètre : l’IA générative a fait son entrée dans les offres SaaS, tant par l’intégration de fonctions natives dans des suites établies que par l’apparition de nouveaux services IA consommés à la manière d’un SaaS. Cette double dynamique modifie en profondeur l’exposition des entreprises et interroge les cadres de gouvernance existants.
Le SaaS classique, enrichi par l’IA, redessine les frontières
Le rapport HYCU emploie le terme SaaS dans son acception traditionnelle : les applications hébergées et opérées par un fournisseur tiers, accessibles à la demande et facturées par abonnement. Salesforce, Microsoft 365, Google Workspace, Slack, GitHub ou Okta en sont les exemples emblématiques. C’est sur ce socle que se concentrent aujourd’hui les risques de perte de données, d’indisponibilité et de défaut de conformité.
Mais depuis 2023, un glissement s’opère. D’un côté, ces applications « classiques » se sont enrichies de modules d’IA conversationnelle ou de copilotes métiers, augmentant le volume de données sensibles traitées et le nombre d’intégrations à sécuriser. De l’autre, un nouveau segment de « SaaS IA » émerge : accès à des modèles de langage via API, plateformes d’orchestration d’agents, outils de cybersécurité pilotés par IA. La logique reste celle du SaaS — multi-tenant, mises à jour continues, consommation à l’usage — mais la criticité se déplace vers la gouvernance des modèles et des flux de données contextuelles.
Le SaaS ne se résume donc plus à la simple fourniture d’applications externalisées : il devient un continuum allant des suites collaboratives aux environnements cognitifs. Pour les DSI, cette mutation signifie que les exigences de résilience et de protection doivent s’appliquer à des périmètres beaucoup plus hétérogènes et interdépendants.
Une adoption massive qui accroît mécaniquement les risques
Le rapport HYCU confirme l’ampleur du phénomène : 96 % des organisations ont accru leur adoption de SaaS au cours des trois dernières années. Elles utilisent en moyenne 139 applications, un chiffre qui monte à 159 pour celles ayant subi plusieurs brèches. La corrélation est nette : plus le portefeuille applicatif est étendu, plus l’exposition aux menaces augmente.
Ce « SaaS sprawl » touche tous les secteurs : l’IT et le commerce de détail affichent les plus hauts niveaux d’adoption, tandis que la santé et les services financiers doivent gérer les contraintes supplémentaires de conformité. Aucun département n’a une vision complète des usages. Le shadow IT prospère, et l’IT se retrouve sommée de protéger des applications qu’elle n’a pas choisies, avec une visibilité partielle au mieux.
Dans ce contexte, les incidents ne sont plus des exceptions : 65 % des organisations déclarent avoir subi au moins une faille liée à une application SaaS au cours des douze derniers mois. La majorité reconnaît que la multiplication des applications a directement contribué à ces brèches. Le SaaS est devenu à la fois un levier d’agilité et une surface d’attaque exponentielle.
Des coûts financiers et réputationnels considérables
L’étude chiffre les conséquences : le coût moyen d’une indisponibilité SaaS atteint 405 770 dollars par jour, pour une durée de reprise typique de cinq jours. Soit 2,3 millions de dollars par incident. Pour les organisations gérant plus de 200 applications SaaS, l’addition est cinq fois plus élevée que pour celles qui en exploitent moins de cent.
Ces coûts directs ne reflètent qu’une partie des impacts. Les DSI interrogés évoquent des pertes plus insidieuses : atteinte à la confiance des clients, sanctions réglementaires, réputation durablement affectée. Dans des environnements où les chaînes de valeur sont intégralement numérisées, une défaillance de quelques jours peut suffire à perturber durablement l’activité.
La comparaison avec les infrastructures sur site est éclairante : là où les centres de données internes offraient un contrôle centralisé, le SaaS distribue les risques et dilue les responsabilités. Chaque nouvelle intégration ajoute un point de fragilité potentiel.
Une gouvernance en panne et une responsabilité mal comprise
Le constat le plus préoccupant du rapport est l’absence de responsabilité claire. 43 % des organisations reconnaissent qu’aucun acteur n’est réellement en charge de la résilience des données SaaS. 42 % admettent ne pas disposer d’une visibilité suffisante sur la protection appliquée aux applications. Et 44 % peinent à répondre à des audits ou à des demandes réglementaires.
La confusion est renforcée par une croyance persistante : 66 % des répondants estiment que la responsabilité de la protection incombe aux éditeurs SaaS eux-mêmes. Or, ceux-ci n’assurent généralement qu’un minimum de restauration native, insuffisant face à des scénarios de corruption, de suppression massive ou de compromission.
Cette dilution des responsabilités crée une faille systémique : au moment d’une attaque, beaucoup découvrent trop tard que la charge de la sauvegarde et de la restauration leur revenait. La dépendance aux fournisseurs tiers devient alors un facteur de vulnérabilité critique.
Des pratiques de protection encore embryonnaires
HYCU souligne que la majorité des organisations ne respectent pas les standards minimaux en matière de protection des données SaaS. Seules 30 % réalisent des sauvegardes pilotées par des politiques, 26 % conservent une rétention hors site et 25 % pratiquent des tests de résilience. Autrement dit, les entreprises reconnaissent le risque mais n’investissent pas à la hauteur de l’exposition.
Les applications les plus sensibles sont précisément celles qui concentrent les inquiétudes : Salesforce, Microsoft 365, Google Workspace, GitHub, Okta ou encore Slack. Toutes combinent trois caractéristiques aggravantes : une intégration profonde, une accessibilité large et une criticité métier. Les erreurs de configuration, les contrôles d’accès insuffisants ou les autorisations excessives multiplient les vecteurs d’attaque.
Dans ce paysage, la résilience ne peut plus se limiter à la sauvegarde ponctuelle : elle doit intégrer des mécanismes d’automatisation, de surveillance continue et de tests réguliers. L’absence de telles pratiques explique pourquoi tant d’organisations se disent « sous-protégées et sous-préparées ».
Vers une redéfinition des priorités métiers et réglementaires
À l’heure où l’IA étend le périmètre du SaaS, la question de la résilience prend une nouvelle dimension. Les DSI doivent conjuguer deux fronts : rattraper le retard accumulé sur la protection des applications historiques et anticiper les risques spécifiques aux services IA consommés en mode SaaS. Ces derniers introduisent des enjeux inédits : alignement des modèles, exposition aux biais, dépendance à des API critiques, conformité transfrontalière.
La réponse passe par une gouvernance réarticulée : attribution claire des responsabilités, standardisation des pratiques de sauvegarde et de tests, intégration des solutions de sauvegarde SaaS dans les plans de continuité, mais aussi construction de cadres de confiance pour les services IA. Cette maturité est indispensable pour répondre aux pressions réglementaires croissantes (Data Act, AI Act, NIS2) et restaurer une confiance fragilisée.
Le SaaS ne disparaît pas : il se transforme. L’enjeu pour les entreprises est de faire évoluer leurs stratégies de protection à la même vitesse que l’adoption, sous peine de voir les gains de productivité annulés par des coûts de disruption massifs. En 2025, le SaaS bouge encore — mais la résilience doit enfin suivre.