8 - 9 octobre 2009 Sousse http://www.ecig2009.org
Atelier professionnel Risk Management des Applications en Ligne Nouvelles menaces, fraudes et solutions
Etude du cas SaaS (Software As a Service) PrĂŠsentation par Khaled BEN DRISS Directeur Technique OXIA 09/10/2009 http://net-progress.blogspot.com/2009/10/risk-management-saas-e-commerce-et.html
Khaled BEN DRISS
Ancien Maître Assistant à l'Ecole Polytechnique de Tunisie Directeur Technique OXIA Consultant Senior : Architecte de Système d'Information www.oxia-group.com Blog : http://net-progress.blogspot.com/ Atelier professionnel : SaaS & gestion de Risque
1
09/10/2009 - Sousse -Tunisie khaled.bendriss@oxia-group.com
Architecture d’entreprise – OXIA - 2008 copyright OXIA
Ingénieur de l'Ecole Centrale de Lyon (ECL’1991) Docteur de l'Université Paris 6 ( P&MC ‘ 1994)
Le groupe OXIA en bref Un leader des Systèmes d’Information et du Nearshore au Maghreb : • • • • • •
Date de création : 1998 Forme juridique : Société Anonyme Effectif : 180 personnes (juin 2009) 60% de l’activité réalisée en dehors de la Tunisie Filiale en Algérie Certification ISO 9001 version 2000 (AFAQ QUAL/2005/25140 )
Software Engineering
Business Solutions
IT Outsourcing
Management Consulting
Atelier professionnel : SaaS & gestion de Risque
09/10/2009 - Sousse -Tunisie khaled.bendriss@oxia-group.com
Plan XaaS la trilogie : SaaS, PaaS, IaaS Visions du futur : Le Prudent, le révolutionnaire et le gradualiste SaaS : les Avantages SaaS : les Risques SaaS : les Best practices Le contrat Besoin d’un régulateur et d’un modèle de maturité
Atelier professionnel : SaaS & gestion de Risque
3
09/10/2009 - Sousse -Tunisie khaled.bendriss@oxia-group.com
Architecture d’entreprise – OXIA - 2008 copyright OXIA
SaaS : des Opportunités
La trilogie : XaaS
PaaS Platform as a Service
IaaS Infrastructure as a Service
Modèle de fourniture de logiciel •Un « business model » pour des composants logiciels hébergés, payement à l’usage ou à la demande •Pas de logiciel, ni de serveur à gérer •Le Service est délivré à travers le navigateur web
Modèle de fourniture de Plateforme •Fourniture d’une plateforme logicielle hébergé pour déployer des applications (ciblant la plateforme)
Modèle de fourniture d’infrastructure •Accès à une pile d’infrastructure : •Système d’exploitation complet •Firewalls •Routeurs •Load balancing
Atelier professionnel : SaaS & gestion de Risque
4
09/10/2009 - Sousse -Tunisie khaled.bendriss@oxia-group.com
Architecture d’entreprise – OXIA - 2008 copyright OXIA
SaaS Software as a Service
SaaS Software as a Service
•CRM, Planification financière, RH, office, email •Exemples: •Salesforce.com •emailcloud
PaaS Platform as a Service
•Stockage, base de données •Examples : •Google App Engine •Azure de Microsoft •Amazon WS: S3
IaaS Infrastructure as a Service
•Système d’exploitation complet, ... •Exemples •Flexiscale •AWS: EC2
Atelier professionnel : SaaS & gestion de Risque
5
09/10/2009 - Sousse -Tunisie khaled.bendriss@oxia-group.com
Architecture d’entreprise – OXIA - 2008 copyright OXIA
La trilogie : Examples
Plan
XaaS la trilogie : SaaS, PaaS, IaaS visions du futur : Le Prudent, le révolutionnaire et le gradualiste SaaS : les Avantages SaaS : les Risques SaaS : les Best practices Le contrat Besoin d’un régulateur et d’un modèle de maturité
Atelier professionnel : SaaS & gestion de Risque
6
09/10/2009 - Sousse -Tunisie khaled.bendriss@oxia-group.com
Architecture d’entreprise – OXIA - 2008 copyright OXIA
SaaS : des Opportunités
Architecture d’entreprise – OXIA - 2008 copyright OXIA
Le Prudent : SaaS c’est un Buzz de plus
Atelier professionnel : SaaS & gestion de Risque
7
09/10/2009 - Sousse -Tunisie khaled.bendriss@oxia-group.com
Architecture d’entreprise – OXIA - 2008 copyright OXIA
Le Prudent : SaaS c’est un Buzz de plus
Atelier professionnel : SaaS & gestion de Risque
8
09/10/2009 - Sousse -Tunisie khaled.bendriss@oxia-group.com
Le révolutionnaire : IT = commodité Une transformation de l'industrie est en cours : La suprématie du web Browser
Electricité
Eau
Applications métiers
Construire votre solution Atelier professionnel : SaaS & gestion de Risque
PlugIn, souscrire & payer à l’usage
09/10/2009 - Sousse -Tunisie khaled.bendriss@oxia-group.com
Le gradualiste :S+S = “Software+Services” Tisser ensemble matériel, logiciel et services pour créer une solution spécifique ...
Applications classiques
ASP
Atelier professionnel : SaaS & gestion de Risque
10
09/10/2009 - Sousse -Tunisie khaled.bendriss@oxia-group.com
Architecture d’entreprise – OXIA - 2008 copyright OXIA
SOA
SaaS
Plan
XaaS la trilogie : SaaS, PaaS, IaaS visions du futur : Le Prudent, le révolutionnaire et le gradualiste SaaS : les Avantages SaaS : les Risques SaaS : les Best practices Le contrat Besoin d’un régulateur et d’un modèle de maturité
Atelier professionnel : SaaS & gestion de Risque
11
09/10/2009 - Sousse -Tunisie khaled.bendriss@oxia-group.com
Architecture d’entreprise – OXIA - 2008 copyright OXIA
SaaS : des Opportunités
Bénéfices of SaaS d’un point de vue utilisateurs Economie « d’argent » (Potentiel)
Réduire les coûts logiciels : par la Souscription Optimiser les ressources (Personnel & matériel) Réduire le nombre de problèmes IT Obtenir de "la puissance de calcul" à la demande
Economie « de temps » (Potentiel) Déploiement plus facile et disponibilité accrue des applications logicielles
Utiliser Utiliser le budget pour exécuter le métier Vs consommer le budget dans les infrastructures Accès aux dernières technologies & versions. Prédictibilité des coûts & Lien directe entre "payement" et services rendus
You pay as you go
Pour les PME
Capacité d’obtenir le service destiné à des Grandes Structures! You pay as you grow Atelier professionnel : SaaS & gestion de Risque
12
09/10/2009 - Sousse -Tunisie khaled.bendriss@oxia-group.com
Architecture d’entreprise – OXIA - 2008 copyright OXIA
•
Objectifs saas d’un point de vue fournisseurs Modèle économique Simplifier la gestion et le contrôle des logicielles Offrir une seule instance d’un logiciel à plusieurs utilisateurs Rendre le logicielle accessible à un plus grand nombre de clients Faciliter l’acquisition de nouveaux clients Instancier un environnement de démo en quelques heures Vendre ses logicielles aux PME / TPE
Elever les coûts de sortie aux clients (Rétention) Faciliter de déployer de nouvelles versions
Atelier professionnel : SaaS & gestion de Risque
13
09/10/2009 - Sousse -Tunisie khaled.bendriss@oxia-group.com
Architecture d’entreprise – OXIA - 2008 copyright OXIA
Proposer un modèle Flexible de payement de services logicielles
Plan
XaaS la trilogie : SaaS, PaaS, IaaS visions du futur : Le Prudent, le révolutionnaire et le gradualiste SaaS : les Avantages SaaS : les Risques SaaS : les Best practices Le contrat Besoin d’un régulateur et d’un modèle de maturité
Atelier professionnel : SaaS & gestion de Risque
14
09/10/2009 - Sousse -Tunisie khaled.bendriss@oxia-group.com
Architecture d’entreprise – OXIA - 2008 copyright OXIA
SaaS : des Opportunités
Risques Le Cœur du métier est externalisé (risque perçue) Disponibilité Dépendance de la connectivité au web Risque sur la qualité de la bande passante Risque de problèmes chez le fournisseur
Sécurité Personnalisation et adaptation Limitées Perte d’avantage compétitive en adoptant une solution partagée par les concurrents Confidentialité Les informations sont saisies et conservés dans des systèmes externes à l’entreprise, risque de vols de secrets … Dépendance vis-à-vis d’un tiers Solution non adaptée à la saisie de grand volume de données. Risque d’Interopérabilité avec le Système d’Information interne Atelier professionnel : SaaS & gestion de Risque
15
15 09/10/2009 - Sousse -Tunisie khaled.bendriss@oxia-group.com
6th September 2006 Architecture d’entreprise – OXIA - 2008 copyright OXIA
Protection contre les accès non autorisés
Plan
XaaS la trilogie : SaaS, PaaS, IaaS visions du futur : Le Prudent, le révolutionnaire et le gradualiste SaaS : les Avantages SaaS : les Risques SaaS : les Best practices Le contrat Besoin d’un régulateur et d’un modèle de maturité
Atelier professionnel : SaaS & gestion de Risque
16
09/10/2009 - Sousse -Tunisie khaled.bendriss@oxia-group.com
Architecture d’entreprise – OXIA - 2008 copyright OXIA
SaaS : des Opportunités
Opportunités pour la Tunisie
Pour le gouvernement (80 % du marché IT) XaaS privé (cloud privé pour le eGov)
SaaS pour les collectivités locales
Certains "font du XaaS" sans le savoir !!
Pour les SSII & éditeurs Nouvelles opportunités Nouveaux paradigmes Nouvelles plateformes & outils de développement Localisation de Logiciels Offre IaaS
Atelier professionnel : SaaS & gestion de Risque
17
09/10/2009 - Sousse -Tunisie khaled.bendriss@oxia-group.com
Architecture d’entreprise – OXIA - 2008 copyright OXIA
Pour les groupes & les entreprises multi-sites
Plan
XaaS la trilogie : SaaS, PaaS, IaaS visions du futur : Le Prudent, le révolutionnaire et le gradualiste SaaS : les Avantages SaaS : les Risques SaaS : les Best practices Le contrat Besoin d’un régulateur et d’un modèle de maturité
Atelier professionnel : SaaS & gestion de Risque
18
09/10/2009 - Sousse -Tunisie khaled.bendriss@oxia-group.com
Architecture d’entreprise – OXIA - 2008 copyright OXIA
SaaS : des Opportunités
Avant de s’embarquer : Répondre clairement 1. Justifier : Pourquoi choisir le mode SaaS & Quoi obtenir de ce mode? 2. Vérifier la qualité du fournisseur, les backup, la sécurité, demander à d’autres utilisateurs leurs avis sur le fournisseur ? 3. Est-ce que votre fournisseur SaaS vous offre un SLA Solide? Quel est le niveau de support proposé ?
4. Vérifier que le SLA corresponde à vos besoins et non seulement à ceux du fournisseur 5. Un plan de réversibilité a il été prévu ? Est il possible ? Combien ça va coûter ? 6. Estimer l’impact sur l’équipe IT actuelle ? 7. Estimer les besoins en formation ? 8. Calculer le coût réel de mise en ouvre du SaaS et définir exactement qu’est ce que vous allez payer?
Attention aux coûts cachés
9. Valider sérieusement le ROI ? 10. Rédiger clairement votre planning ? Atelier professionnel : SaaS & gestion de Risque
19
09/10/2009 - Sousse -Tunisie khaled.bendriss@oxia-group.com
Architecture d’entreprise – OXIA - 2008 copyright OXIA
1. La gestion du changement Revoir les processus pour tenir compte du SaaS 2. Les peurs (données, sécurité, …) 3. La bande passante 4. La migration des données 5. Le plan de réversibilité 6. Le contrat Risque à l’international, si le fournisseur est Hors du pays Emplacement des données 7. SLA (Service Level Agreement) 8. La disponibilité des API intégration avec le SI (dans les deux sens) 9. Le changement de version des applications 10. La facturation Atelier professionnel : SaaS & gestion de Risque
20
09/10/2009 - Sousse -Tunisie khaled.bendriss@oxia-group.com
Architecture d’entreprise – OXIA - 2008 copyright OXIA
10 éléments à considérer
Plan
XaaS la trilogie : SaaS, PaaS, IaaS visions du futur : Le Prudent, le révolutionnaire et le gradualiste SaaS : les Avantages SaaS : les Risques SaaS : les Best practices Le contrat Besoin d’un régulateur et d’un modèle de maturité
Atelier professionnel : SaaS & gestion de Risque
21
09/10/2009 - Sousse -Tunisie khaled.bendriss@oxia-group.com
Architecture d’entreprise – OXIA - 2008 copyright OXIA
SaaS : des Opportunités
Architecture d’entreprise – OXIA - 2008 copyright OXIA
Le contrat
Atelier professionnel : SaaS & gestion de Risque
22
09/10/2009 - Sousse -Tunisie khaled.bendriss@oxia-group.com
Plan
XaaS la trilogie : SaaS, PaaS, IaaS visions du futur : Le Prudent, le révolutionnaire et le gradualiste SaaS : les Avantages SaaS : les Risques SaaS : les Best practices Le contrat Besoin d’un régulateur et d’un modèle de maturité
Atelier professionnel : SaaS & gestion de Risque
23
09/10/2009 - Sousse -Tunisie khaled.bendriss@oxia-group.com
Architecture d’entreprise – OXIA - 2008 copyright OXIA
SaaS : des Opportunités
Besoin d’un organe régulateur Besoin d’un Bureau de contrôle indépendant pour des installations SaaS évaluer l’adhérence aux standards et la mise en ouvre des “best
Besoin d’un Observatoire des pratiques commerciales SaaS Besoin de "clauses obligatoires dans Contrat XaaS" Pour protéger le client (et le rassurer )
Besoin de travaux d’Harmonisation & d’Interopérabilité API pour facturation Basic Profile : le minimum à vérifier
Atelier professionnel : SaaS & gestion de Risque
24
09/10/2009 - Sousse -Tunisie khaled.bendriss@oxia-group.com
Architecture d’entreprise – OXIA - 2008 copyright OXIA
practice”, garanties et procédures d'audit. Vérifier la confidentialité, le cloisonnement des données Tester les clauses de réversibilité Certifier les fournisseurs selon un "Modèle de maturité« à définir
Conclusion
Sans doute une (r)evolution dans la conception et la consommation des logiciels Modèle de Souscription à la place de la Possession Crée un avantage commercial
de logiciels
Que cache l’avenir? Dans quelle direction va l’industrie ? (MS Vs Google) Combien de temps pour considérer le SaaS comme Classique?
25 / 14
SaaS: Revolution25in Software Design - Sousse -Tunisie khaled.bendriss@oxia-group.com Atelier professionnel : SaaS & gestion de ARisque 09/10/2009
Tuesday February 13, 2007– OXIA - 2008 copyright OXIA Architecture d’entreprise
Offre un tout nouveau jeu dans le domaine de l'acquisition
Khaled BEN DRISS Directeur Technique Tel : +216 71 28 27 00 Mob.: +216 25 23 45 30
11 rue Claude Bernard 1002 Le Belvédère Tunis, Tunisia Tél : +216 71 28 27 00 Fax : +216 71 28 27 05
khaled.bendriss@oxiasoft.com www.oxia-group.com