Lorsqu’il s’agit de choisir les bonnes solutions de cybersécurité, une question cruciale se pose : faut-il opter pour le modèle SaaS (Software as a Service), ou on-premise (sur site) ?

Une question incontournable pour tout projet de cybersécurité en 2023, dont la réponse n’est pas si évidente et va différer selon les besoins et contraintes de chaque projet.

L’objectif de cet article est donc de mettre en avant l’ensemble des éléments à prendre en considération lors du choix on-premise / SaaS.

Cette revue est organisée selon trois axes :

1. Gestion des risques, personnalisation et contrôle des données
2. Coûts de déploiement et d’exploitation
3. Flexibilité et évolutivité de la solution
   

Nous proposerons ensuite un arbre de décision qui pourra vous servir de base pour déterminer quel modèle est le plus adapté à votre besoin.

Gestion des risques, personnalisation et contrôle des données

Le modèle on premise permet le contrôle complet de l’infrastructure. Cela signifie que l’on a la capacité de personnaliser les solutions en fonction de ses besoins spécifiques, de mettre en place des politiques de sécurité internes et de prendre des décisions en matière de configuration et de déploiement. Cela offre une flexibilité et une adaptabilité accrues pour répondre aux exigences de sécurité uniques de l'entreprise.

De plus, avoir le contrôle de l'infrastructure permet également de gérer directement la confidentialité des données sensibles, en minimisant les risques liés à la divulgation ou à la fuite d'informations sensibles à des tiers. Mais cela veut également dire que vous avez le devoir de protéger cette infrastructure !

Quant au modèle SaaS dont la configuration des systèmes est celle de l’éditeur, souvent conçues pour répondre aux besoins généraux d’un large éventail d’entreprises signifie que la personnalisation de la solution pour répondre à des besoins spécifiques peut être limitée.

Il en est de même pour la sécurité, les mesures de sécurité appliquées sur la plateforme sont celles de l’éditeur, vous déléguez donc la responsabilité de la sécurité de la plateforme à un tiers. Cela implique automatiquement un risque concernant la confidentialité de vos données qui seront confiées à l’éditeur.

Il est donc crucial de mener une « Due diligence » avant de choisir un fournisseur SaaS pour s’assurer que vos données seront protégées conformément à vos exigences de sécurité. N’hésitez pas à poser des questions spécifiques au fournisseur et à obtenir des réponses claires et documentées pour évaluer leur engagement en matière de protection des données.

Pour conclure, le meilleur modèle pour la gestion des risques, la personnalisation et le contrôle de données est sans aucun doute le modèle on premise.

Coûts de déploiement et d’exploitation

Pour différencier les coûts des modèles SaaS et on-premise, il est nécessaire de séparer les coûts de déploiement et d’exploitation.

Coûts de déploiement

Le modèle on premise nécessite un certain investissement lors de la phase de déploiement, plusieurs coûts sont à prévoir, dont :

• L’infrastructure matérielle : le déploiement on-premise peut nécessiter l’achat de serveurs, de dispositif de sécurité physique et autres équipements réseau.
• Licences logicielles : Certaines dépendances logicielles soumises à acquisition de licences peuvent exister et ont leur coût (comme des systèmes d’exploitation, base de données etc.)
• Ressources humaines : L’intégration de la solution dans votre infrastructure existante représentera une certaine charge pour vos équipe IT et nécessitera probablement des services professionnels tels que des consultants en cybersécurité ou des ingénieurs système et réseau, pour configurer et paramétrer correctement la solution.

Tandis que ce coût sera moindre dans le cas d’un modèle de déploiement SaaS car il n’y a pas de frais d’acquisition d’infrastructure à prévoir et les ressources humaines nécessaires pour le déploiement sont limités grâce à l’automatisation du déploiement par l’éditeur qui est quasiment systématique. Cela permet au passage d’accélérer considérablement la phase de déploiement. Plus simple, rapide et moins onéreuse donc.

Coûts d’exploitation

Concernant les coûts d’exploitation, plusieurs frais sont à calculer dans le modèle on-premise. En plus des coûts de licence du produit, les ressources humaines seront dans la plupart des cas le centre de coût principal de l’exploitation de l’infrastructure, indispensable pour la maintenance de la plateforme. Ces ressources humaines doivent par ailleurs être qualifiées sur ce type d’activité, c’est-à-dire administrateurs système et réseau mais surtout formés sur la solution hébergée. Ensuite viendront s’ajouter les frais matériels, car des changements et évolutions de matériels seront à prévoir. Enfin les coûts liés aux locaux des serveurs, notamment les coûts énergétiques qui ne sont pas moindre lors de crises énergétique, les SIEM et EDR sont particulièrement énergivores !

Tant de frais à prévoir qu’il est difficile de pouvoir chiffrer les coûts d’exploitation d’une plateforme on-premise. Ce travail d’estimation des coûts d’exploitation est d’ailleurs souvent bâclé, lorsqu’il n’est pas simplement ignoré.

Dans un modèle SaaS, tous les coûts d’exploitation rencontrés dans le modèle on-premise existent bien évidemment mais seront portés par l’éditeur de la solution. L’éditeur est lui habité à faire ce genre de calcul et va donc répercuter cette valeur sur le coût de la License, additionné d’une marge certaine (car ne l’oublions pas, leur objectif est également de faire du profit).

Alors, les plateformes SaaS sont-elles forcément plus chères vu que les éditeurs appliquent les coûts d’exploitation additionné à une marge ? Pas vraiment car les éditeurs gèrent un grand volume de données et cela permet de mutualiser au mieux les ressources (que ce soit matérielle, logicielle ou humaine) entre leurs différents clients. Ce qui finalement, fera que les coûts globaux d’exploitation SaaS sont rarement plus chers.

Seules les organisations ayant une équipe infrastructure mature possédant la majorité des compétences an amont du projet pourrons prétendre pouvoir concurrencer les coûts d’exploitation du modèle SaaS lors d’un déploiement on-premise. Car elles aussi sont capables de mutualiser les ressources avec les autres projets déjà en place.

Finalement, quel modèle est le plus économique pour mon organisation ?

Cela va dépendre de trois facteurs :

• La taille de votre système d’information à protéger
  • Si vous avez moins de 500 actifs à protéger, on estime que le modèle on-premise ne peut pas être plus compétitif que le modèle SaaS car le déploiement aura un impact significatif et ne pourra jamais être amorti dans le temps (ou alors sur du très long terme, on parlera de plusieurs dizaines d’années).
• Le niveau de maturité de votre équipe infrastructure
  • Si vous n’avez pas d’équipe infrastructure en place, le coût d’exploitation du modèle on-premise sera extrêmement élevé car vous aurez la responsabilité d’acquérir et de former des ressources humaines dédiées à cela.
• Le niveau d’engagement envers la solution
  • L’amortissement du coup d’intégration élevé du modèle on-premise s’amorti dans le temps. Si vous pensez garder la possibilité de changer de solution régulièrement, le modèle SaaS sera plus économique pour vous.

Dans le cas où vous répondez aux 3 critères :

•  Votre système d’information à protéger est supérieur à 500 actifs
•  Vous avez déjà une équipe infrastructure en place et mature
•  Vous projetez de garder cette solution à long terme (> 3ans)

La solution on-premise sera alors plus économique pour vous !

Flexibilité et évolutivité de la solution

Le modèle SaaS offre généralement une évolutivité plus facile et plus rapide. Les fournisseurs SaaS peuvent facilement ajuster les ressources et la capacité en fonction de vos besoins. Vous pouvez augmenter ou diminuer les ressources en fonction de la demande, ce qui permet une évolutivité rapide sans nécessiter d'investissements majeurs en infrastructures supplémentaires. Cela vous permet de faire face à des pics de charge ou de répondre à une croissance rapide de votre organisation de manière plus flexible.

En revanche, le modèle On Premise peut être plus complexe en termes d'évolutivité. Vous devez planifier et investir dans de nouvelles infrastructures, matériels et licences logicielles pour augmenter la capacité ou prendre en charge une croissance importante. Cela peut entraîner des délais plus longs et des coûts plus élevés lorsqu'il est nécessaire de faire évoluer votre solution de cybersécurité.

Pour les mêmes raisons, il est beaucoup plus simple de changer de fournisseur en mode SaaS plutôt qu’en mode on-premise, ce qui vous donne beaucoup plus de flexibilité si jamais des opportunités s’offrent à vous dans le futur. Ce fournisseur est leader aujourd’hui, mais qu’en sera-t-il dans 3 ans ?

En termes de flexibilité et d’évolutivité de la solution, le modèle SaaS est la solution la plus adaptée.

Se poser les bonnes questions pour prendre les bonnes décisions

Nous avons établi l’arbre de décision suivant pour vous aider à prendre la bonne décision concernant le modèle de déploiement préférable pour les solutions de sécurité de votre organisation. Cet arbre de décision est organisé en trois phases majeures :

1. Existe-t-il des contraintes associées à votre métier ne vous permettant pas de sous-traiter ce service ?
2. Quel est le modèle le plus économique pour votre organisation ?
3. Quelle stratégie d’investissement souhaitez-vous mettre en place vis-à-vis de cette solution ?