Il fut un temps où les logiciels n’étaient disponibles que par le biais de « clients lourds », c’est-à-dire d’applications installées localement sur le poste de travail. Ces applications étaient alors entièrement contrôlées et configurées par l’entreprise sur ses propres serveurs, et accessibles uniquement depuis les postes de travail sur lesquels elles étaient installées.
Mais depuis quelques années déjà, le Cloud a permis une transformation des usages et la mise en place du fameux SaaS (« Software As A Service »), une application gérée sur des serveurs distants par l’éditeur de l’application et accessible aux employés via une connexion Internet.
Pour pratique qu’il soit, ce nouvel usage change la donne en matière de gestion du système d’information. Autrefois, l’entreprise était responsable de la configuration et de la sécurisation de l’application qu’elle maîtrisait de bout-en-bout ; elle pouvait ainsi s’assurer du respect de ses règles de sécurité et du contrôle de ses données sur cette application. Aujourd’hui, les règles ont changé : une grande part de ce contrôle est passé dans les mains de l’éditeur de logiciel.
Il est donc nécessaire d’encadrer cette nouvelle forme d’infogérance par un contrat écrit avec soin. Coralium s’est donc associé avec Angelaw, un service de gestion de contrats pour startups et PME, afin d’éclaircir ce sujet.
Qu’est-ce qu’un SaaS ?
Le terme SaaS « Software As A Service » désigne une solution logicielle hébergée dans le Cloud, et accessible via un navigateur : dans ce cas, ce sont les éditeurs qui hébergent l’application et louent ses services, support, sécurité et maintenance compris. Cette méthode présente certains avantages :
- Des mises à jour automatiques
- Une délégation des problématiques de maintenance, de performance, de sécurité et de disponibilité
- Un déploiement rapide
- Une évolutivité éventuellement personnalisée
- Une réduction des coûts (par la disparition des coûts de maintenance et de déploiement)
- Des applications connectées et intersites
À la différence du contrat de licence de logiciel, qui donne à l’acheteur la propriété d’une copie du logiciel, installée sur son propre serveur, le contrat SaaS est un contrat de service. Ainsi, dans le cas de l’achat de la licence, il est primordial de disposer des droits d’auteur durant toute la durée de l’utilisation. Au contraire, dans le cadre d’un contrat SaaS, la propriété n’est pas transférée, le client ne fait que s’abonner auprès d’un fournisseur.
L’intégration de ces logiciels SaaS s’effectue par le biais d’un contrat dans lequel les deux parties spécifient les clauses d’utilisation des services. Ces contrats méritent alors une attention particulière, puisque le client transfère les données sur le serveur du prestataire. Cette distinction implique des subtilités dans la mise en place de l’accord d’utilisation : le traitement de données, la confidentialité, la réversibilité, le volume de données stockables ou encore les conditions de clôture de contrats.
Quels sont les points à vérifier ?
Les services et les prestations SaaS ne sont applicables que lorsqu’un contrat est signé entre les deux parties. Celui-ci spécifie les conditions misent en place durant l’exécution et à la fin du contrat, telles que le traitement de données plus ou moins sensibles, les exigences de sécurité ou de disponibilité. Il est alors important de vérifier les points suivants :
Services proposés et niveau de service :
Lors de la rédaction d’un contrat SaaS, il est important d’établir en détail la liste des services auxquels le client a accès, leurs disponibilités ainsi que les alternatives en cas de problème, afin d’éviter qu’une indisponibilité du service n’ait de graves conséquences sur l’entreprise. Les conditions de mise à jour des services se doivent d’être stipulé, ainsi que les conditions d’alertes de prévention d’interruption de service.
Cette partie du contrat doit être vérifiée par le métier service informatique.
Les traitements et la sauvegarde des données :
Selon le type des prestations proposées, une organisation peut avoir à traiter des données plus ou moins sensibles. En acceptant un contrat SaaS, il est nécessaire de porter une attention particulière à la manière dont les données que vous ferez transiter dans l’espace Cloud seront traitées, modifiées et stockées. Il peut être demandé par exemple le chiffrement des donnés selon leur criticité, ou encore une sauvegarde régulière (toutes les 6 h par exemple) selon les besoins de l’organisation. Il est important que soit mis en place un contrat de confidentialité afin que les deux parties se mettent d’accord sur les conditions de divulgation des données. Par ailleurs, il est aussi important de mentionner que la compromission des données doit être communiquée par l’hébergeur au client quel que soit l’impact de cette dernière sur les données de l’organisation.
Cette partie du contrat doit être vérifiée par le service informatique.
Les responsabilités :
Cette clause du contrat spécifie les risques encourus lors de l’exécution et du non-respect des obligations stipulées dans le contrat. Lors de la mise en place d’une prestation SaaS, les deux parties acceptent de s’affranchir de certaines responsabilités.
La responsabilité de chacun doit être estimée dans tous les cas de figures possibles, que ce soit pour un vol de donnée, de l’indisponibilité … Chaque scénario doit être pris en compte dans le contrat.
Cette partie du contrat doit être vérifiée par le service juridique.
Les normes et protocoles :
Cette clause spécifie les normes appliquées et les protocoles mis en place par l’éditeur. Elle permet de valider leurs méthodologies de travail ainsi que le respect des normes mises en place selon le cadre juridique (exemple : respect de la RGPD, traitement des données personnelles). Si besoin, la spécification des certifications obtenues assure un niveau de qualité appréciable sur les domaines encadrés par la certification.
Cette clause du contrat doit être vérifiée par le directeur du système d’information.
Les fins de contrat :
Les fins de contrats peuvent être une période compliquée de la prestation si elles ne sont pas analysées soigneusement. Il doit être spécifié dans le contrat la manière dont les données sont restituées et supprimées par l’éditeur (quel format, chiffré ou non…) à la fin du contrat.
Cette clause du contrat doit être vérifiée par le DSI.
Même si les services SaaS présentent des avantages non négligeables, il est important de ne pas perdre de vue les engagements que chaque partie (client et infogérance / éditeur) s’est engagée à respecter, ainsi que les risques encourus en cas de non-respect de ces engagements. Les contrats SaaS doivent être étudiés avec une grande attention. C’est une tâche qui peut être chronophage ; heureusement, des solutions existent pour vous aider dans la création et la gestion de tels contrats.
Notre partenaire Angelaw est tout indiqué pour cela : si cela vous intéresse, c’est ici que ça se passe ! Et si vous souhaitez en apprendre plus sur les liens entre la cybersécurité et les contrats, cliquez ici !
Article rédigé par : Kévin Rosemond, consultant chez Coralium