SaaS management : un levier de transformation des organisations à saisir !

Andréa Jac­que­min, fon­da­teur de Bea­my, l’acteur fran­çais spé­cia­li­sé dans le SaaS Mana­ge­ment dédié aux grandes entre­prises, et Marie-Luce Godi­not (X91), direc­trice géné­rale adjointe du groupe Bouygues en charge de l’Innovation, du Déve­lop­pe­ment durable et des Sys­tèmes d’information, reviennent sur les enjeux du SaaS et sur son impact dans les grandes entreprises.

Des responsables IT au comex, le SaaS Management est devenu un sujet dont s’emparent dorénavant les plus hauts niveaux de l’entreprise. Pourquoi ? Comment expliquez-vous cette évolution ?

Andréa Jac­que­min : La gou­ver­nance du SaaS n’est pas un sujet qui relève uni­que­ment de l’IT. En effet, l’usage du SaaS, de l’IA géné­ra­tive et le foi­son­ne­ment tech­no­lo­gique qui en résulte au sein des entre­prises sont des vec­teurs de la trans­for­ma­tion, notam­ment digi­tale, de l’organisation et de ses métiers, des sujets qui relèvent de la com­pé­tence du Comex. Dans cette démarche de trans­for­ma­tion, la DSI a un rôle stra­té­gique à jouer. Elle par­ti­cipe à la trans­for­ma­tion glo­bale de l’entreprise et contri­bue à faire face aux défis et aux risques induits par ce pro­ces­sus de trans­for­ma­tion. Marie-Luce Godi­not : C’est véri­ta­ble­ment cet enjeu de trans­for­ma­tion digi­tale des orga­ni­sa­tions qui remonte au niveau du Comex. Au tra­vers du SaaS mana­ge­ment, il s’agit, en effet, de déter­mi­ner com­ment le digi­tal, le SaaS ou encore la délé­ga­tion de la ges­tion de l’infrastructure à des par­te­naires externes peuvent per­mettre à l’entreprise de gagner en agi­li­té, en auto­no­mie et en inno­va­tion sans avoir à réa­li­ser d’importants inves­tis­se­ments. Ces ques­tions relèvent éga­le­ment du Comex, car elles entraînent des risques qu’il ne faut pas négliger.
Les entre­prises, au tra­vers de leur DSI, doivent donc garan­tir leur cohé­rence tech­no­lo­gique et assu­rer la conti­nui­té du busi­ness et des acti­vi­tés afin que le recours au SaaS et à l’externalisation ne posent pas un risque business.

Le SaaS Management recoupe différents enjeux stratégiques pour les entreprises, dont la question de la gouvernance globale ou encore la cybersécurité. Qu’en est-il ?

M‑L.G : Le déploie­ment du SaaS implique des risques de diverses natures. En matière de gou­ver­nance, les entre­prises doivent veiller à conser­ver la maî­trise de leur sys­tème d’information, mais aus­si des outils et des solu­tions uti­li­sés par leurs col­la­bo­ra­teurs pour des ques­tions opé­ra­tion­nelles, d’efficacité et juri­diques. En effet, le fort déve­lop­pe­ment du SaaS au cours des der­nières années a consi­dé­ra­ble­ment sim­pli­fié l’achat et l’intégration de nou­velles solu­tions dans les entre­prises. Ces der­nières font face à un véri­table foi­son­ne­ment tech­no­lo­gique qui, s’il a des avan­tages cer­tains, néces­site une gou­ver­nance glo­bale et adap­tée pour garan­tir une cohé­rence et une effi­ca­ci­té d’ensemble. Il ne s’agit pas uni­que­ment d’aller cher­cher l’innovation, mais il faut aus­si pou­voir assu­rer la conver­gence quand cela est néces­saire. En paral­lèle, il y a un cer­tain nombre de risques asso­ciés à l’usage des nou­velles tech­no­lo­gies. Ce ne sont pas des risques nou­veaux pour les orga­ni­sa­tions, mais avec le SaaS et l’externalisation, ils prennent une nou­velle dimen­sion. En matière de cyber­sé­cu­ri­té, la délé­ga­tion de la ges­tion d’une par­tie de son sys­tème d’information ou de ses don­nées à un tiers exté­rieur néces­site une réflexion à plu­sieurs niveaux afin de déter­mi­ner avec finesse le niveau d’exposition aux dif­fé­rents risques, la capa­ci­té du tiers et du pres­ta­taire à assu­rer un haut niveau de sécurisation…
Au-delà, les entre­prises doivent aus­si s’intéresser à la ques­tion de la pro­prié­té, de l’utilisation, du sto­ckage et du trai­te­ment de ses don­nées qui vont tran­si­ter par les appli­ca­tions et les solu­tions qu’elles vont uti­li­ser. Dans ce domaine, elles doivent aus­si s’assurer de leur confor­mi­té avec les régle­men­ta­tions en vigueur, comme le RGPD. Enfin, elles doivent aus­si orches­trer toutes ces solu­tions afin de s’assurer de leur bonne inté­gra­tion dans son sys­tème dans une logique d’interopérabilité. Cela demande d’avoir une fine visi­bi­li­té sur les risques et les oppor­tu­ni­tés asso­ciés à la mise en œuvre de chaque appli­ca­tion afin de faire le meilleur choix et de défi­nir des méca­nismes de délé­ga­tion, d’autonomie, de véri­fi­ca­tion ou d’exigence appropriés.

A.J : La ques­tion de la gou­ver­nance doit aus­si être appré­hen­dée au regard de la volu­mé­trie et du nombre de pres­ta­taires de l’entreprise. En effet, chez cer­tains de nos clients, il y a plus de 2 000 à 3 000 appli­ca­tions SaaS dif­fé­rentes uti­li­sées. Pour ce faire, les entre­prises doivent envi­sa­ger une refonte de leur gou­ver­nance, la mise en place de nou­veaux pro­ces­sus et outils, ain­si que la pro­mo­tion d’une nou­velle culture afin de déter­mi­ner le bon niveau d’autonomie et de contrôle qui peuvent être accor­dés aux métiers en fonc­tion du niveau de risque et de leur cri­ti­ci­té pour la conti­nui­té des activités.
Dans cette démarche, la notion de trans­pa­rence et de par­tage est extrê­me­ment impor­tante. À ce niveau, le rôle de la DSI est clé, car c’est elle qui va mettre en place le cadre de la gou­ver­nance. La DSI doit donc pou­voir s’appuyer sur des outils qui vont lui per­mettre de gérer toute cette com­plexi­té, d’accompagner les métiers et les col­la­bo­ra­teurs, et d’insuffler une culture qui per­met de sécu­ri­ser le recours au SaaS dans l’entreprise.

“L’enjeu autour du SaaS est d’avoir une surveillance continue des applications utilisées plutôt que de recourir à des audits ponctuels.”

Selon vous, quels sont les freins et enjeux qui persistent en termes de SaaS Management ? Quels efforts doivent encore être fournis par les entreprises pour gagner en maturité ?

A.J : L’enjeu autour du SaaS est d’avoir une sur­veillance conti­nue des appli­ca­tions uti­li­sées plu­tôt que de recou­rir à des audits ponc­tuels. Les DSI ont adop­té la pra­tique des audits pour iden­ti­fier tous les logi­ciels SaaS uti­li­sés, mais cette approche a sou­vent des effets para­ly­sants : la décou­verte sou­daine d’un grand nombre de logi­ciels incon­nus, un véri­table « mur de SaaS », crée une rup­ture dans la rela­tion entre l’IT et les métiers, sans pour autant induire de chan­ge­ments concrets.
Le SaaS crée un IT paral­lèle au sys­tème d’information tra­di­tion­nel de l’entreprise qui doit être enca­dré par une gou­ver­nance claire et trans­verse dont la voca­tion est de sécu­ri­ser tous les usages de manière trans­pa­rente et d’anticiper l’ensemble des risques asso­ciés. L’enjeu autour du SaaS est d’avoir une sur­veillance conti­nue de l’ensemble de son éco­sys­tème, plu­tôt que de recou­rir à des audits ponctuels.
Notre retour d’expérience avec plus d’une cin­quante de grandes entre­prises clientes, montre que la mon­tée en matu­ri­té des entre­prises en matière de SaaS mana­ge­ment passe par quatre étapes com­plé­men­taires : obser­ver les usages du SaaS afin de dres­ser un état des lieux ; déve­lop­per la connais­sance du SaaS (iden­ti­fi­ca­tion des coûts, ges­tion des contrats et des licences…) ; mettre en place une gou­ver­nance adap­tée et, enfin, col­la­bo­rer avec les métiers de manière trans­pa­rente afin de leur don­ner les moyens de par­ti­ci­per au déploie­ment des solu­tions SaaS dès leur installation.

M‑L.G : Même s’il existe des pla­te­formes de SaaS mana­ge­ment, telle que celle pro­po­sée par Bea­my, la mise en œuvre d’une gou­ver­nance autour du SaaS reste extrê­me­ment com­plexe. Cela implique notam­ment la col­lecte d’informations issues de dif­fé­rentes sources et leur ana­lyse, la mesure et le sui­vi de la per­for­mance, l’évolution des pro­ces­sus, un tra­vail d’information et de sen­si­bi­li­sa­tion des dif­fé­rentes BU et des col­la­bo­ra­teurs, l’élaboration d’un cata­logue d’applications, une com­mu­ni­ca­tion claire autour des appli­ca­tions qui sont auto­ri­sées et inter­dites, la défi­ni­tion des bons niveaux de délé­ga­tion, d’autonomie et de res­pon­sa­bi­li­sa­tion… Au sein de Bouygues, sur ce sujet du SaaS mana­ge­ment, nous nous ins­cri­vons dans une logique de test de ces solu­tions de SaaS mana­ge­ment afin de voir com­ment cela s’implémente et s’intègre dans nos pro­ces­sus, d’identifier les béné­fices et les apports… Nous sommes donc en pleine phase d’observation et avons un réel objec­tif de béné­fi­cier de tous les avan­tages du SaaS Management !

---

Articles similaires :

Les RH au cœur de la trans­for­ma­tion de BNP Paribas La digi­ta­li­sa­tion du bâti­ment : de la construc­tion à l’usage au quotidien D’ici 2020, notre objec­tif est de réa­li­ser l’ensemble de nos pro­jets en BIM Construire le futur La solu­tion incon­tour­nable de déma­té­ria­li­sa­tion des tickets de caisse