« Pour ne pas être dépendant de son prestataire « as a service », il n’y pas 36 solutions. Seule l’intervention d’un tiers de confiance permet à l’entreprise d’accepter sereinement le risque de défaillance inhérent au secteur. »
Le développement colossal du marché des services informatiques en mode Cloud a engendré un nouveau risque pour les entreprises clientes : celui de voir disparaître leur prestataire « as a service », et avec lui la continuité opérationnelle du service. Comment être sûr de bien choisir son fournisseur ? Comment rester serein face aux aléas financiers et opérationnels qui le menacent ? L’intervention d’un tiers de confiance est-elle la solution ? Le point avec Jérome Jouve, expert en continuité d’exploitation chez exaegis.
À quoi une entreprise s’engage-t-elle en signant un contrat de prestations « as a service » ?
Jérome Jouve : « En décidant d’externaliser sur le Cloud certains de leurs services informatiques ou de communication, les entreprises choisissent de confier à un prestataire une partie de leur système informatique en échange desdits services. Ces prestations, qui sont généralement pluriannuelles, incluent l’hébergement, les applications et l’ensemble des ressources nécessaires à une bonne exploitation des données. Souvent, le prestataire fait lui-même appel à des sous-traitants. Un éditeur pourra ainsi déléguer l’hébergement et les services managés de la plate-forme pour se concentrer sur le développement, la maintenance, le support et la commercialisation de sa solution. Les intervenants se partageant la responsabilité des plans de secours et de sécurité en cas de dysfonctionnement. »
Cela comporte-t-il des risques ?
J.J. : « Oui, bien sûr. Les clients s’exposent d’abord à un risque de dysfonctionnement venant du prestataire : panne, crash informatique… Il faut donc s’assurer que le fournisseur choisi a bien prévu un solide Plan de Reprise d’Activité (PRA), car le PRA de l’entreprise ne pourra pas s’appliquer dans le cadre des activités du Cloud. Il est aussi fortement recommandé qu’ils procèdent à une sauvegarde régulière de leurs données, le mieux étant d’installer une synchronisation permanente. »
Si le prestataire disparaît, ces précautions suffisent-elles à maintenir les services externalisés ?
J.J. : « Malheureusement, non. Si la situation dégénère, que le prestataire disparaît, son PRA devient caduc. Quant à la sauvegarde des données, elle ne permet pas d’en assurer l’exploitation. La continuité du service ne peut donc plus être assurée, d’autant plus qu’un tel cataclysme arrive en général assez brutalement. Pour ne pas en arriver là, il faudrait que l’entreprise cliente soit en mesure de pouvoir maintenir elle-même la propriété intellectuelle des logiciels, d’accéder aux sous-traitants, en particulier l’hébergement, d’identifier les prestataires qui pourront reprendre le service et de rassembler toutes les données du prestataire pour pouvoir les exploiter. Mais quel est le prestataire qui accepterait d’avoir ce genre de relation avec son client ? Et vice versa ? »
L’intervention d’un tiers de confiance est-elle la solution ?
J.J. : « Pour construire une vraie relation de confiance entre client et fournisseur, certaines choses doivent rester confidentielles et anonymes. Seul un tiers de confiance peut agir comme un sas étanche entre toutes les parties, dont l’ouverture est dictée par des déclencheurs précis et acceptés par tous en amont. Avant même la finalisation du contrat, le tiers de confiance vérifie la pérennité financière du prestataire et sa capacité à délivrer le service promis, identifie les maillons faibles de sa chaîne de production du service, met en place un suivi et évalue les solutions possibles de remplacement en cas de défaillance. Si cela arrivait, ce tiers sera capable de porter les éléments propres au service : propriété intellectuelle, ressources clés, solutions de repli, copies des données et des systèmes… et de déclencher au bon moment une solution de transition en urgence avec des prestataires de secours. »