Longtemps préoccupation des seuls responsables informatiques opérationnels, l’augmentation marquée du nombre de SaaS (software as a service) dans les organisations attire dorénavant l’attention des comités exécutifs.

L’entreprise de conseil et de recherche Gartner projette une croissance de près de 17% du segment SaaS en 2023 au niveau mondial, pour dépasser les 195 milliards de dollars. Mais au-delà de la dynamique économique, ce sont les enjeux en termes de gestion des risques, de gouvernance et de résilience qui interrogent aujourd’hui les comex. Sur le marché, cet intérêt au plus haut niveau ouvre donc un boulevard pour les acteurs qui proposent des réponses aux externalités négatives amenées par le SaaS dans les organisations.

Comme plusieurs entreprises en témoignaient auprès d’Alliancy l’an passé, il devient de plus en plus difficile pour les directions des systèmes d’information, même quand elles ont un mandat clair de leur comex, d’avoir une vision nette des usages qui sont faits des SaaS. En 2022, Gartner estimait ainsi à 40% la part des dépenses IT globales absorbées par une forme ou une autre de ce « shadow IT », les usages informatiques des salariés, pas ou mal connus de la direction. Pour l’entreprise spécialiste du réseau et du cloud, Cisco, le ratio moyen dans les plus grandes entreprises entre le nombre d’applications totalement maîtrisées par une DSI et la totalité d’entre elles, intégrant donc le « shadow IT », était d’un inquiétant « un à quinze » l’an passé.

Du risque cyber à la gouvernance globale

Le Clusif, association de promotion de la cybersécurité, réunissant entreprises et administrations autour du développement des bonnes pratiques pour la sécurité du numérique, a tiré la sonnette d’alarme en 2023, en publiant un nouveau rapport sur le « Shadow IT à l’heure du Cloud ». « Les menaces cyber actuelles visent tout particulièrement les utilisateurs. Or, dans un environnement cloud, garder le contrôle de leur comportement est encore plus difficile », indique l’association, qui interroge les évolutions de gouvernance plus largement nécessaires pour faire face à cette transformation.

Dans ce contexte, le développement rapide ces dernières années des outils de CASB (pour « Cloud access security broker », logiciels chargés de surveiller les usages de services cloud pour appliquer des politiques de sécurité) s’est fait en parallèle de celui des plateformes de SaaS Management, dont l’objet est plus globalement d’assurer la bonne gouvernance de la transformation numérique et des usages technologiques amenée par les SaaS. L’enjeu est alors celui de la collaboration entre les métiers et toutes les différentes directions supports de l’entreprise, de l’IT à la Sécurité, en passant par les Achats.

« On nous compare beaucoup aux CASB, mais ce sont surtout deux approches très complémentaires », explique Andréa Jacquemin, chief executive officer de Beamy, l’un des rares éditeurs, français, d’une plateforme de SaaS Management dédiée aux grandes entreprises. « Le CASB va se concentrer sur l’analyse des volumes de données échangées, en étant couplé à un système de DLP (Data Loss Prevention, NDLR), afin de déterminer les applications à risques et les fuites de données dans le Cloud sur des cas d’usage très orientés sécurité. Beamy de manière complémentaire, va se concentrer la gouvernance numérique et la collaboration avec les métiers, vis à vis de la multitude d’outils qu’ils utilisent sans que la DSI le sache. L’enjeu est de les référencer dynamiquement, de comprendre leur évolution, déterminer leur criticité d’usage et d’orienter les métiers vers le « blue print applicatif » (les applications et les usages compatibles avec la philosophie définie par l’entreprise, NDLR) », détaille-t-il.

Pour ce faire, Beamy a développé une technologie de monitoring des usages SaaS basée sur une extension déployée sur les navigateurs internet de ses clients. La plateforme couple ces informations d’usage avec les données financières, d’authentification et de référentiels applicatifs. La jeune entreprise prépare également des intégrations avec les CASB du marché. Andréa Jacquemin précise par ailleurs que l’objet de sa technologie n’est pas la surveillance individuelle des utilisateurs, mais une compréhension des usages agrégés à l’échelle de l’entreprise et de sa matrice organisationnelle.

Eviter le « mur du SaaS »

En effet, pour le dirigeant, l’enjeu d’une plateforme de SaaS Management est aujourd’hui de permettre la surveillance continue du paysage SaaS d’une organisation et pas seulement au moment où est réalisé un audit. Les DSI ont en effet pris de plus en plus le pli de réaliser de tels audits pour « découvrir » tous les SaaS utilisés par les collaborateurs. « Nous nous sommes rendu compte que ces audits créaient un effet paralysant. La DSI voit soudainement apparaître un « mur de SaaS » en découvrant 400 logiciels là où elle pensait en avoir 40… Et cela provoque trop souvent un choc dans la relation entre l’IT et les métiers, qui fait que tout le monde subit et que rien ne change », épingle-t-il. Pour contourner ce problème, Beamy fournit dorénavant une capacité d’investigation au jour le jour : « Notre outil donne une vision des évènements qui rythment la propagation des SaaS dans l’entreprise. Par exemple, quand un logiciel change de dimension en passant de dix utilisateurs à cent ; ou bien quand il sort d’une business unit dans un pays particulier pour aller dans d’autres parties de l’organisation ». Cette approche évènementielle vise à outiller la montée en maturité des DSI sur le sujet du SaaS (lire plus bas).

Chez Decathlon, cette approche globale pour gérer les SaaS a conduit à la création d’un poste à plein temps, sur le modèle d’une fiche de poste de « SaaS manager ». Il lui incombe aussi la responsabilité d’animer la communauté IT-Métier qui va devoir réagir aux évènements et opérer des changements. « L’idée est de faire émerger un « SaaS Center of Excellence » dans les organisations, qui va pouvoir utiliser les données issues du SaaS Management pour vraiment comprendre les usages de cet IT décentralisé et passer à l’action », analyse Andréa Jacquemin.

L’Europe en avance ?

Ce changement d’approche, qui met l’audit au second plan, est encore jeune sur un marché lui-même en train de se définir. « Il y a beaucoup d’acteurs du SaaS Management qui sont nés ces dernières années et les principaux sont américains. Mais surtout, beaucoup se concentrent sur le marché des PME et des ETI, plus accessible par rapport à la situation complexe des grands groupes », décrit Andréa Jacquemin.

En la matière, être l’un des rares acteurs européens sur le segment est clairement un atout pour la jeune pousse qui a lancé son produit en 2020. Elle surfe en effet sur l’activisme réglementaire de l’Europe en matière de numérique. À l’image de l’arrivée prochaine de DORA (Digital Operational Resilience Act), qui change les exigences en matière de résilience numérique des banques et assurances. L’autorité de contrôle prudentiel et de résolution (ACPR), qui supervise les banques, a récemment noté que le secteur financier avait fait de nombreux progrès mais que le shadow IT restait une faille bien identifiée par rapport à la future réglementation. Celle-ci va en effet mettre au centre du jeu la connaissance exhaustive des sous-traitants technologiques, dans une approche industrielle, et non plus seulement des plus critiques d’entre eux. « En retour, de nombreuses entreprises de technologies vont se retrouver soumises à DORA, si elles sont considérées comme prestataire critique du marché financier », note le CEO de Beamy avant de préciser : « Avec une telle réglementation, l’Europe montre qu’elle est plutôt en avance. Ce sont les Américains qui regardent ce que nous allons faire pour gérer de tels sujets complexes de résilience numérique dans les grandes entreprises. »