Alors que le nombre de services en SaaS (Software-as-a-Service) ne cesse de progresser - une évolution qui profite de la transformation des usages et des facilités d’achat et de déploiement - se pose les questions du coût et des risques de sécurité ?
Le SaaS (Software-as-a-Service) est le premier grand succès du Cloud Computing, et son premier mode de consommation. Nous lui consacrerons 186,4 milliards de dollars en 2018, sur un marché qui devrait continuer de croître annuellement de 20 % au cours des prochaines années. Jusqu’à ce que nos dépenses dans le SaaS représentent 45 % du total des dépenses de logiciels d’ici à 2021.
Mais derrière ce succès se cachent des questions liées à la capacité des organisations à gérer les dépenses en solutions SaaS et à maîtriser les risques liés à ce mode de consommation des solutions et des services.
Certes, l’accès et le déploiement des solutions en SaaS sont simplifiés. De même, le discours se veut rassurant, les risques de sécurité et de conformité sont limités - ne dit-on pas qu'une solution dans le cloud est mieux protégée qu'une solution locale ? -, et le coût par abonnement est maîtrisé. Mais en êtes-vous si sûrs ? Posez-vous donc la question « Qui utilise des applications en SaaS, quelles applications, et dans quels environnements ? ».
Les dérives du SaaS
En réalité, le SaaS est porteur de ses propres risques, proches d’ailleurs des dérives liées à l’usage des licences logicielles. Par exemple, le SaaS n’a pas éliminé les risques de Shadow IT, avec des abonnements non utilisés ou obtenus sans suivre les procédures. Ou encore des abonnements perdurent alors que les personnes qui en bénéficiaient on quitté le service qui utilise la solution ou même a quitté l’entreprise !
Dans ces conditions, les dépenses de l’organisation dans le SaaS ne sont pas maîtrisées, elles sont même probablement largement au dessus de la consommation réelle de ces solutions. Et une partie des renouvellements de contrats s’exécutent automatiquement en l’absence de suivi. L’étude en référence à notre article estime ainsi que près d’un tiers des applications en SaaS payées par l’entreprise ne sont pas exploitées. En particulier dans les PME !
L’authentification SSO prise en défaut
Autre difficulté, si beaucoup d’entreprises ont mis en place des solutions d’identification des utilisateurs, avec des listes et e-mails rarement à jour, et avec des procédures d’authentification unique (SSO), ces dernières ne sont pas déployées sur l’ensemble des applications et services de l’entreprise. A ce titre, un système d’authentification peut être désynchronisé d’un système RH ou d’une base d’utilisateurs. Un individu peut très simplement obtenir un droit d’accès direct à un service SaaS sans passer par le processus SSO.
Au moment où les règlementations se font plus fortes et où le RGPD entre en vigueur, l’entreprise risque d’exposer ses données et les données personnelles de ses clients comme collaborateurs. C’est l’angle mort évoqué dans notre titre, un risque à la fois de sur-coût, de conformité et de sécurité que les dérives du SaaS peuvent faire peser sur l’entreprise.
Source : Etude « Le nombre de services SaaS monte en flèche » de Flexera
Image d’entête 828176250 @ iStock makyzz