Bonnes pratiques - acheter des solutions Saas en 4 étapes

Le processus d'achat et la gouvernance des achats IT sont bouleversés par l'arrivée du SaaS et du Cloud Computing ; entre les exigences fonctionnelles apportées par les métiers et les exigences non-fonctionnelles portées par la DSI (sécurité, urbanisation, intégration, continuité, etc.), les protocoles achats sont chahutés. Selon les circonstances et en fonction des forces en présence, le processus achat peut connaitre des destinées variées : de court-circuité à très allongés, mais également insatisfaisant si l'organisation ne fixe pas les enjeux internes de l'arrivée de ce nouveau modèle économique de services.

L'organisation doit donc mesurer l'impact du phénomène sur le processus d'achat et redéfinir les rôles et responsabilité du processus. Le protocole ne doit pas seulement s'arrêter à l'approvisionnement mais se poursuit tout au long de la vie du service contrairement au mode on-premise. Compte tenu de la criticité de ce changement sur le modèle On-Premise (externalisation d'infrastructure, de données, voire de processus utilisés dans la chaine d'exploitation de l'entreprise), il apparaît utile, pour bénéficier sans risque du modèle Saas, de revoir les bonnes pratiques de sélection des fournisseurs spécifiquement dans le cas d'achat de solution SaaS.

Suivez le guide:

1 - Etablir une short-list - un exercice à plusieurs dimensions

La première étape est de choisir une short-list de solutions répondant au besoin ciblé par les métiers, et non couverts jusque-là. Cette étape nécessite la mise en place d'une matrice fonctionnelle par les métiers de manière à identifier les exigences fonctionnelles attendues. Cette matrice devra être complétée par un indicateur de priorité fonctionnelle sur chaque fonctionnalité de type "incontournable", jusqu'à "accessoire". Cette grille fonctionnelle permettra ainsi de sélectionner simplement les solutions Saas du marché en s'appuyant par exemple sur des annuaires comparateurs de solutions de type appvizer par exemple.

La liste des doléances fonctionnelles doit être complétée de critères non-fonctionnels, qui s'étendent sur des domaines qui échappent aux experts métiers mais qui interviennent dans le champ d'expertise des équipes informatiques :

-la sécurité (l'organisme est-il certifié ? où sont localisées les données ?);

-la continuité (votre plan de continuité passera désormais par le plan de continuité du prestataire, aussi les questions relatives à la continuité du prestataire devront être abordées : les engagements de service prévoient-ils des engagements de résolution des incidents ? Les engagements de résolution sont-ils cohérent avec mon propre plan de continuité);

-la gestion et la protection des mots de passe, les niveaux d'habilitation disponibles.

Ainsi, Rusty Weston, journaliste et chercheur, et Shahab Kaviani, Vice President du Marketing et des Ventes chez HyperOffice , leader dans la fourniture de solutions collaboratives ⁽¹⁾ dans leur article "Saas Vendor Selection" donnent une approche concrète et systématique pour sélectionner les fournisseurs Saas qui adressent exhaustivement les critères précités. La méthode de sélection est à doser en fonction de l'impact métier du service acheté : certains outils Saas peuvent bloquer votre production, là où d'autres ne bloqueront pas la production mais pour lesquels la perte de données s'avèrerait désastreuse pour l'image, pour l'innovation, voire les compétences de l'entreprise. Par conséquent les poids des caractéristiques de l'outil dans le choix doivent être remis dans le contexte d'exploitation et de son impact sur ce dernier.

Les critères de performance applicative (temps de réponse, fiabilité, maintenabilité, évolutivité), de montée en charge sont difficiles à mesurer lors de phase avant-vente, c'est pourquoi la période d'essai (de préférence gratuite) peut être cruciale et incontournable pour un service. D'autant plus lorsqu'on ne connaît pas ces performances car nouveau sur le marché par exemple.

Les critères liés aux coûts d'acquisition de la solution et l'impact budgétaire (OPEX vs CAPEX) sont évidemment à prendre en compte et à mettre en relief des engagements de services avancés par le prestataire.

Critère souvent délaissé dans les offres "on-premise", la pérennité financière du prestataire doit faire partie des critères, puisqu'en effet la disparition du prestataire peut aboutir à des situations douloureuses si aucun moyen d'anticipation n'est mis en oeuvre. En cas de disparition du fournisseur, la rupture de service peut être rapide (sabotage des moyens par les employés, arrêt des paiements aux hébergeurs par le fournisseur et arrêt des infrastructures par l'hébergeur), avec comme conséquences des pertes d'exploitation puisque aucun moyen de reprise n'est disponible (l'ensemble des moyens est externalisé), perte de données sensibles.

La sécurisation des données et applications Saas devient un enjeu majeur de l'achat IT.

Autre cas difficile à traiter, le rachat d'un éditeur par un confrère pour tuer sa solution. Cette pratique des éditeurs lors des rachats va sans aucun doute se perpétuer dans ce nouveau modèle Saas, dont le marché est à ses débuts et est très atomisé. Sans anticipation, le client est sous le joug du repreneur; le fournisseur peut imposer une migration forcée au client. Cette dernière situation prend une tout autre ampleur dans le Saas comparé au mode au-premise où le client pouvait à ses risques et périls continuer d'utiliser la solution sans contrat de maintenance. Des outils juridiques et opérationnels peuvent être mis en place pour sécuriser une solution Saas et assurer la continuité dans ce cas de figure.

(1) A Systematic Approach to Selecting a Software-as-a-service Vendor (http://www.hyperoffice.com/saas-reviews-for-smbs)

2 - La sélection des candidats

La phase suivante est de rencontrer les prestataires et aborder la phase de démonstration et de cotation des critères sur la base des interviews et des démonstrations des fonctionnalités de l'outil.

Comme la relation Saas est une relation de long terme, il est nécessaire de bien appréhender le démarrage de la relation commerciale. Ainsi le processus de vente avancé par le prestataire devra se rapprocher d'une vente conseil, avec une phase d'essai pilote de préférence gratuite. Si tel n'est pas le cas, il est probable que vous soyez face à un éditeur qui n'a pas intégré la dimension "as a service" et de relation sur le long terme, et qui a probablement "Saasifié" une offre On-premise pour surfer sur la vague du Saas sans en avoir les caractéristiques (c'est un fake !). Ce type de premier indice devra alerter l'acheteur ou le sponsor du projet d'adoption de la nouvelle solution. Cela ne veut pas dire qu'il faille écarter la solution, mais il faudra dans la négociation obtenir une période d'essai, et vous faire accompagner d'un expert Saas sur les aspects contractuels.

3 - Le Proof On Concept une étape déterminante pour les applications Saas

A l'issue de ce premier exercice de sélection, une short-list obtenue sur la base des premiers résultats fondera le socle de la phase suivante qui consiste à évaluer en profondeur la solution par une expérimentation "au pied de la bécane". Cette étape est indispensable pour mesurer l'écart entre vision commerciale et vision opérationnelle.

Un exercice pratique de validation de la bonne couverture des critères ne doit pas se limiter aux critères fonctionnels, mais s'étendre aux critères non-fonctionnels exposés ci-avant et également aux critères d'intégration de la solution Saas avec le SI actuel. Les problématiques des interfaces ne sont pas à sous-estimer, d'autant plus dans cette période d'explosion des moyens de communication mobile avec le SI (smartphone, tablette ...).

Concernant les réelles capacités opérationnelles du prestataire en termes d'engagement de services, de continuité, de disponibilité, de sécurité, s'arrêter aux informations communiquées par le prestataire vous expose à des risques de désillusion, qui peuvent se transformer en rejet de la solution post-déploiement. La solution sur ces thématiques passe par les fourches caudines de l'assurance qualité fournisseur (AQF). A ce jour, contrairement aux achats de biens matériels entrant dans la composition d'un produit manufacturé, l'AQF entre peu à l'ordre du jour dans le domaine de l'achat de prestations Saas voire IT.

A titre d'exemple, la disponibilité de service est l'indicateur de disponibilité mis en avant par le prestataire. Il est généralement issu d'un calcul qui peut être réalisé d'une multitude de façons. En outre, en l'absence de calcul du SLA par un tiers de confiance, la fiabilité de calcul et l'objectivité de la mesure d'atteinte du SLA peuvent être remises en cause. Beaucoup de controverses sont attribuées à juste titre à ces indicateurs et les surenchères des prestataires qui relèvent parfois "d'un grand n'importe quoi", entre mesure "derrière le serveur" et mesure "au pied de la machine" des clients, les écarts peuvent fluctuer entre vision fournisseur et vision client. Pour parer à cet obscurantisme sur les mesures de SLA, il convient soit d'imposer la mesure du SLA par un tiers de confiance, soit de faire auditer la chaîne de calcul de l'indicateur afin de se rassurer sur cette dernière.

Cette pratique est également plus efficace pour faire pression sur le fournisseur que de mettre en place un système de pénalités (comme l'on en croise parfois) sans en spécifier la méthode de mesure, et sans déployer en interne les moyens de suivi ; et ensuite perdre du temps de négociation des pénalités avec le fournisseur parce que les utilisateurs ne sont pas satisfaits des performances...

La transparence du fournisseur sur les méthodes de mesure forment également des signaux et des critères de choix : une communication mensuelle de l'atteinte des objectifs de service par un tiers de confiance de manière spontanée renforce la confiance envers le fournisseur à l'inverse d'une communication sporadique et sur demande du client.

A l'issue de la période d'essai des solutions, la décision d'achat peut être faite sur la base des résultats des travaux, cette décision faite de concert entre acheteurs, représentants métiers et DSI.

4 - Une évaluation continue et une surveillance

Audit, mesure de la couverture des besoins, Proof of concept sont autant d'outils pour ne pas faire d'impair dans le choix d'un fournisseur Saas. Ces outils permettent de déclencher le choix dans un cadre méthodologique assurant un choix se basant en partie sur des critères rationnels, et tangibles.

A l'inverse d'un achat on-premise sur un mode plutôt ponctuel, le ROI de la solution est plus difficile à mesurer puisque les moyens sont externalisés. Aussi, les indicateurs de performance de la solution sont à passer en revue à fréquence établie avec le fournisseur ; ainsi que les signaux faibles de sur ou sous-utilisation du logiciel. Les indicateurs de performances sont à extrapoler de l'exercice de sélection, les critères sont à mesurer dans une vision continue, puisque dépendant d'une infrastructure matérielle et logicielle qui échappe aux équipes IT.

Les risques liés à la disparition nécessitent une surveillance financière et opérationnelle du fournisseur ainsi de la qualité de sa trésorerie. D'autres informations de marché préfigurent également de bons indicateurs de la santé de l'entreprise.

La fin de service doit être anticipée (la réversibilité telle qu'est appelée dans le vocable informatique). La méthode d'extraction des données pour permettre l'injection de ces données dans un autre système doit être abordée dès le début de la relation pour connaître les moyens mis en oeuvre par le fournisseur, le format des données reversées, et son délai. Toutes ces exigences doivent être émises au fournisseur, testées et présentes au contrat. Sans ces diligences, la migration vers une autre solution Saas peut être perturbée par les caractéristiques de la solution initiale (impossibilité contractuelle, format de données non-standard, non normalisé).

Cet achat est un véritable acte de gouvernance

Le nouveau mode économique Saas bascule l'acheteur au centre de la gestion des risques de l'entreprise, et de la continuité d'exploitation du système d'information. La bonne préparation des acheteurs à ce nouvel environnement est essentielle. Les acheteurs vont être partenaires de la vision utilisateur et de la vision DSI. S'ils le sont déjà, ce phénomène va s'amplifier puisque l'émergence du Saas et du Cloud Computing facilite l'achat par la direction métier sans concertation avec la DSI (cf. Shadow-IT). Le positionnement de l'acheteur doit former un rempart aux déviances de ce phénomène et éliminer les risques de produit "toxiques" ou "inintégrable" avec les autres pans du système d'information.

L'acheteur est également un maillon fort de l'innovation puisque caractériser une solution Saas en respectant les règles précédentes ouvre des choix vers des startups du numérique. Le processus formalisé du suivi et de la surveillance permettra de bénéficier du modèle Saas innovant en encadrant les risques inhérents.

La sélection des fournisseurs Saas dépasse le cadre de l'achat "On Premise". Elle nécessite d'être renforcée compte-tenu de la nature du service achetée et des risques inhérents à l'externalisation de la maîtrise des données, et des infrastructures. L'acte d'achat nécessite la mise en place en amont d'une équipe pluridisciplinaire avec des compétences métiers, IT, achat, juridiques et d'analyse financière.

L'assurance qualité fournisseur doit intégrer le monde de l'IT des solutions en mode as a service pour opérer le tri nécessaire à la sélection de solution de confiance, et de transparence sur les engagements de service. L'assurance qualité fournisseur ne s'arrête au premier audit, mais doit être à l'affût des informations de marché des rapprochements, des difficultés financières et opérationnelles... Ces informations sur le fournisseur font parties des signaux à surveiller tout au long de la relation, et cette surveillance dépasse là aussi le cadre stricte de l'assurance qualité.

L'achat de solutions Saas redistribue les cartes de la gouvernance achat IT et, l'achat Saas s'apparente à la mise en place d'une externalisation et d'un partenariat, dont une analogie peut être esquissée avec ce que l'industrie automobile a mis en place avec ses sous-traitants de rang 1. Ce n'est plus un acte simple d'achat, mais un acte stratégique d'entreprise qui se structure par la mise en place de processus de sélection et de surveillance suivi durant toute la relation : une véritable gouvernance.

Christophe Poudrai, responsable de la notation chez Exaegis. Il y maintient et développe le modèle d'audit en fonction de l'émergence de nouvelles pratiques et des retours d'expérience exaegis.