Intelligence collective

Les atouts et les challenges du SaaS

27 juillet 2016

La démocratisation du cloud computing dans les entreprises a donné un sens au terme de “Datacenter virtuel”. Aujourd’hui, il devient obligatoire de se poser la question du type de déploiement dans l’instruction d’un nouveau projet : On premise, Cloud, Hybride.

Le SaaS est une solution logicielle mutualisée et déployée sur le cloud public par un éditeur. Il participe grandement au succès du cloud car une fois choisi, le métier, accompagné d’un intégrateur, n’a plus qu’à le configurer pour l’utiliser. Le SaaS ne manque pas d’atouts pour sa mise à disposition  immédiate et son coût réduit. Cependant il ne répond pas forcément aux exigences d’entreprise en termes de sécurité, d’urbanisme et d’architecture.

Dans ce contexte, la fonction principale de l’architecte n’est pas qu’un appui au choix de la solution. Au contraire, il doit trouver et déployer les moyens nécessaires pour intégrer la solution au SI de l’entreprise.

 

Protéger vos données

Ce premier point est le plus important et vous ne devez jamais l’oublier : vos données sont votre bien le plus précieux.

Une étude récente montre qu’une majorité des SaaS ne sont pas conformes aux règles Européenne et Française pour la protection des données. Il faut donc se pencher sur le contrat de l’éditeur pour s’assurer que les exigences de ces 2 organismes sont respectés ainsi que celles imposées par votre domaine d’activité.

Du point de vue technique, l’utilisation du cloud ne signifie pas obligatoirement que l’architecture de la solution est redondée sur plusieurs sites et que vos données sont répliquées en quasi-temps réel. Il ne faut pas avoir honte de demander des compléments techniques au discours commercial habituellement affiché tel que l’architecture applicative, la liste des outils et des options à votre disposition pour protéger vos données.

Les tâches les plus importantes à étudier sont :

  • la restauration de vos données au moment souhaité pour résoudre un cas de compromission de données,
  • l’interdiction d’accès au SaaS en dehors de l’entreprise,
  • le blocage des systèmes d’exportation manuels des données pour les utilisateurs,
  • le chiffrement des données et son impacts sur les fonctions de la solution,
  • la limitation de connexion d’un utilisateur selon sa provenance.

Un aspect bien souvent ignoré porte sur la réversibilité de la solution. La volumétrie et la complexité du modèle de données peut être incompatible avec le traditionnel export dans des fichiers plats mis à la disposition par les SaaS. D’autres solutions existent et sont à étudier au cas par cas.

 

Le prix du cloud

Votre budget n’est pas illimité contrairement aux ressources du cloud. Le SaaS est une occasion unique de réduire de manière drastique vos coûts grâce à des tarifs très bas. Par expérience, ils sont facturés au nombre d’utilisateurs, au volume de données stockées ou au débit entrant/sortant. Assurez vous que le business plan de la solution choisie soit à votre avantage.

Listez aussi les fonctions annexes ou les modules secondaires dont vous avez besoins pour votre projet car certains SaaS facturent ces prestations :

  • l’archivage,
  • la restauration des données,
  • le chiffrement des données,
  • la traçabilité fine des actions,
  • le reporting/les statistiques,
  • les modules techniques de sécurité,
  • les modules d’échange des données.

Pour finir sur ce sujet, un SaaS ne répondant pas parfaitement aux besoins métiers coûtera obligatoirement plus chère qu’une solution “On Premise”. Il faudra définir une architecture transitoire pour compenser ce manque ou demander un développement spécifique (et facturé) à l’éditeur du SaaS.

 

Echanges avec le SI de l’entreprise

L’accès des utilisateurs est un sujet récurrent pour de nombreuses entreprises. Voici un descriptif des 3 solutions les plus fréquentes.

Une bonne pratique est de disposer d’un référentiel d’identité unique et d’une solution d’Identity Provider. Cette solution permet d’exposer simplement et surement les identités de vos référentiels grâce aux protocoles les plus répandus tels que Samlv2 et Oauth. Les identités de l’entreprise sont mises à jour automatiquement dans la solution SaaS. La fédération d’identité peut même prendre en charge l’authentification des utilisateurs de vos partenaires.

identity_provider

Si vous ne disposez pas d’un tel système, les SaaS disposent de connecteurs plus traditionnels comme ldaps. Le pré-requis sera généralement de répondre aux exigences de sécurités de l’entreprise (généralement la mise en oeuvre d’un VPN).

connexion_ldaps

Le troisième cas consiste à importer les utilisateurs comme des données pour déléguer au SaaS les fonctions d’identification et d’authentification. Bien que très souvent utilisée, cette solution est à mon sens, à proscrire. Elle implique une multiplication des référentiels et un processus solide de mise à jour des utilisateurs.

authent_locale

Autre sujet d’intégration, les échanges applicatifs.

Ces derniers sont plus ou moins complexes à mettre en oeuvre suivant la maturité du produit et la criticité des données échangées. Cette complexité est d’autant plus importante que certains SaaS ne proposent pas ou peu d’options techniques pour faciliter leur interopérabilité.

Plusieurs méthodes de communication existent tels que le mail, les Webservices ou les échanges de fichiers. Certains mettent également à la disposition de leurs clients un applicatif facilitant le transfert d’information et les communications entre les deux parties. Ces méthodes sont soumises aux mêmes règles et bonnes pratiques que pour une échange externe, à savoir un compte applicatif par client, des flux chiffrés ainsi qu’une traçabilité accrue des échanges. Son choix est conditionné par ses usages :

  • sens du flux,
  • fréquence des échanges,
  • criticité des données,
  • volumétrie,
  • type d’échange.

Les solutions sont multiples et différentes selon le sens de l’échange. Voici les principaux cas d’usages. 

échange sécurisé par un VPN  L’utilisation d’une liaison VPN permet de sécuriser l’ensemble de flux entrant et sortant.
api_fichiers Ce type d’implémentation s’appuie sur des briques d’infrastructures mutualisées construites par la DSI pour les flux entrants au système d’information.

L’échange de fichier implique une solution compatible avec les possibilités du SaaS (sftp, cft, AS2, etc).

L’échange par des Webservices nécessite une solution API Management, de reverse proxy et de WAF.

Appli_SaaS L’applicatif développé par l’éditeur du SaaS permet de gérer de manière très sécurisée l’échange d’information. Les plus aboutis sont capables de réaliser des opérations quasi temps réels pour des flux retours.

Enfin, gardez un œil sur l’ensemble des flux applicatifs initiés depuis le SaaS. Si vous avez forcément connaissance des échanges automatisés avec votre SI, ce n’est pas le cas pour les échanges entre plusieurs solutions SaaS. Un audit permet de repérer rapidement ces connexions non déclarées !

 

Conclusion

Les SaaS dotent la DSI de solutions adaptées au métier et accessibles rapidement. Gardez en tête que le SaaS contribue à étendre virtuellement votre datacenter. Par conséquent il doit être conforme aux exigences de l’entreprise. Plus que pour une architecture interne, il est impératif de définir précisément le besoin en termes d’accès et d’échange pour éviter les nombreux écueils mentionnés dans cet article. Pour y répondre favorablement, l’architecte peut compter à la fois sur les outils de la solution et sur les possibilités techniques de votre SI.

Newsletter

Inscrivez-vous à notre newsletter pour recevoir nos dernières actualités*

Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé de gestion des Clients et Prospects (CRM).

Le Responsable de traitement est la société weave, 37 rue du rocher 75008 Paris RCS Paris 802 396 085.

Elles sont destinées à l’activité marketing du groupe weave ainsi quà celle de ses filiales, à l’exclusion de tout transfert hors de l’UE. Elles sont conservées pour une durée conforme aux dispositions légales (par exemple 3 ans pour les données prospects).

Ce traitement nécessite votre consentement que vous pourrez retirer à tout moment sans que cela ne remette en cause sa licéité.

Conformément à la loi « Informatique et Libertés » et au règlement européen n°2016/679, vous bénéficiez d’un droit d’accès, de rectification ou d’effacement, ainsi que d’un droit à la portabilité de vos données ou de limitation du traitement. Vous pouvez également pour des raisons tenant à votre situation particulière, vous opposer au traitement de vos données et donner des directives relatives à la conservation, à l’effacement et à la communication de vos données après votre décès. Vous disposez également du droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (www.cnil.fr).

Vous pouvez exercer vos droits en nous contactant à l’adresse vosdonnees@weave.eu.

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour mesurer notre audience, vous proposer des contenus et des offres personnalisées, ainsi que des fonctionnalités de partage sur les réseaux sociaux. En savoir plus sur notre politique de cookies et notre charte des données personnelles