4 min de lecture
Le SaaS semble simple – mais il représente souvent un piège en termes de coûts et de sécurité. Sans visibilité sur l’utilisation, les contrats et la shadow IT, des dépenses inutiles et des risques menacent. Pour maîtriser véritablement le SaaS, impossible de se passer d’une gestion moderne des actifs logiciels.
L’essentiel
- Le SaaS ne nécessite pas de gestion classique des licences, mais une gestion structurée des actifs logiciels reste indispensable.
- Sans contrôle centralisé, la shadow IT se développe via des commandes autonomes des services métiers.
- Les licences SaaS sont basées sur les utilisateurs et liées aux identités, et non aux appareils.
- La transparence s’obtient par l’intégration avec les SSO, les API et l’analyse des relevés de cartes de crédit.
- L’optimisation des coûts par le rightsizing est plus importante que la conformité classique pour le SaaS.
« Pour le SaaS, on n’a pas besoin de gestion des actifs logiciels. » Cette affirmation se révèle rapidement être une illusion dans la pratique. Pourtant, le Software-as-a-Service semble d’abord être le remède aux modèles de licences complexes : plus d’installations sur les systèmes locaux, plus de métriques de licence compliquées, la maintenance et le support sont souvent inclus – à la place, des abonnements simples, résiliables mensuellement, activés rapidement et réglés directement par carte de crédit.
Cependant, ceux qui croient que le SaaS est « sans licence » ou autogéré sous-estiment les risques liés au déplacement des logiciels vers le cloud. La perte de contrôle menace à tous les niveaux, et la shadow IT ne cesse de croître.
En effet, plus les entreprises misent sur le SaaS, plus les défis en matière de transparence, de coûts et de conformité deviennent importants. Ce que la centrale d’achat informatique et les gestionnaires de licences dédiés géraient auparavant échappe aujourd’hui de plus en plus à l’influence des structures classiques de l’IT et du SAM. Ce qui est célébré comme une « agilité métier » recèle en réalité des risques considérables : les contrats se prolongent à l’insu de tous, les licences restent inutilisées et des données sensibles se trouvent dans des systèmes non autorisés.
Pour les responsables informatiques, il est donc plus important que jamais de remettre fondamentalement en question leur propre compréhension du SAM.
1. Comment fonctionne la découverte des SaaS ?
La gestion classique des actifs logiciels a été développée à une époque où les logiciels étaient étroitement couplés au matériel. La méthodologie était claire : une inventaire basée sur des agents permettait de savoir quel logiciel était installé sur quel appareil. Ces données étaient comparées avec les historiques d’achat pour calculer les « Effective License Positions » (ELP) – c’est-à-dire la comparaison entre l’utilisation et les droits. L’objectif était d’être le plus audit-proof possible face aux éditeurs de logiciels.
Pourtant, ce modèle repose sur trois hypothèses qui n’existent tout simplement plus dans l’univers du SaaS :
- Il n’y a pas d’installations locales de SaaS
Les applications SaaS sont fournies via le navigateur ou des services web dédiés. Le logiciel ne laisse aucune « trace d’installation » classique dans le système – ni dans le système de fichiers, ni dans le registre. Les outils basés sur des agents, qui scannent les appareils, ne détectent pas ces applications. - Les licences ne sont plus liées au matériel, mais aux identités
La licence est généralement basée sur l’utilisateur – souvent de manière granulaire selon le rôle, l’étendue des fonctionnalités ou même l’intensité d’utilisation. Dans le monde du SaaS, il faut avoir un aperçu du comportement de connexion, de l’utilisation des fonctionnalités et des structures de locataires – des données qui ne proviennent pas d’un inventaire matériel, mais des API, des systèmes SSO ou des consoles d’administration. - Les services métiers achètent de manière autonome – la shadow IT devient la norme
Dans de nombreuses entreprises, les services commerciaux, marketing ou RH utilisent leurs budgets pour se procurer directement des outils comme HubSpot, Miro, Canva ou Asana – souvent dans le cadre de versions d’essai ou de licences individuelles bon marché – souvent sans que l’IT, les achats ou la sécurité en soient informés.
La tentative d’obtenir une vue d’ensemble des systèmes informatiques utilisés ressemble souvent à un labyrinthe. Source : Unsplash / Susan Q Yin.
Ainsi, la tentative de se faire une idée claire de son propre paysage SaaS conduit rapidement à un labyrinthe d’imprécisions techniques, organisationnelles et juridiques. En pratique, deux approches complémentaires se sont avérées efficaces :
- Analyse technique – la vue sur l’utilisation :
Les outils modernes de découverte de SaaS misent sur des intégrations avec les systèmes SSO (par ex. Azure AD, Okta), des interfaces API vers les fournisseurs de SaaS ou la surveillance réseau via proxy. L’objectif est de collecter des données de connexion, le nombre d’utilisateurs, l’utilisation des fonctionnalités ou les abonnements activés – si possible en temps réel. - Analyse financière – « Follow the Money » :
Souvent, la transparence sur le SaaS commence là où la comptabilité regarde : sur les relevés de cartes de crédit, les factures des prestataires de services ou les rapports de dépenses. Celui qui analyse systématiquement les dépenses avec des désignations comme « Cloud Services », « outils de productivité » ou même « frais de voyage » découvre fréquemment des abonnements fantômes, des prolongations imprévues ou des outils redondants.
2. Pourquoi le rightsizing est plus important que la conformité
Les licences SaaS ne sont plus liées aux installations, mais au comportement réel des utilisateurs. La conformité logicielle typique vis-à-vis des éditeurs passe au second plan – les questions de coûts deviennent plus pertinentes que jamais. La question centrale n’est plus : « Est-ce installé ? », mais : « Est-ce vraiment utilisé – et si oui, avec quelle intensité ? »
Les risques typiques surviennent en raison d’un manque de transparence : les licences restent actives alors qu’elles ne sont plus nécessaires – le système continue de compter, les coûts augmentent. Souvent, on opte par précaution pour la variante la plus chère (feature-bloat), sans vérifier si les fonctionnalités sont réellement nécessaires. Et sans vue d’ensemble centrale, de nombreuses licences se prolongent automatiquement – même lorsque les projets sont terminés depuis longtemps ou que les collaborateurs ont quitté l’entreprise.
Le levier le plus efficace contre cela : les Real Usage Data. Seul celui qui comprend comment, à quelle fréquence et par qui un outil est utilisé peut prendre des décisions fondées :
- Qui se connecte et à quelle fréquence ?
- Quelles fonctionnalités sont réellement utilisées ?
- Y a-t-il des modules complémentaires inutilisés mais payants ?
- Quels comptes peuvent être fusionnés ou résiliés ?
Ce sont les questions auxquelles il faut désormais répondre.
« Ce qui est célébré comme une « agilité métier » recèle en réalité des risques considérables : les contrats se prolongent à leur insu, les licences restent inutilisées et des données sensibles se trouvent dans des systèmes non autorisés. »
3. Qu’en est-il de la sécurité ?
Avec chaque application SaaS utilisée dans l’entreprise, des données quittent le propre réseau. Données clients, informations financières, communication interne – tout cela ne se trouve plus sur ses propres serveurs, mais dans les centres de données de tiers.
Le manque de transparence représente un risque sérieux : violations du RGPD, accès orphelins et comptes fantômes
Cette réalité exige un changement de mentalité de la part des responsables des actifs logiciels. Le terrain de jeu a changé : le SAM doit sortir du coin de la conformité et entrer dans la gestion stratégique des coûts informatiques, de l’utilisation et des risques. Ainsi, il est possible d’augmenter la sécurité, de limiter la shadow IT et de prendre des décisions éclairées concernant le paysage logiciel.
Questions fréquentes
Pourquoi la gestion classique des actifs logiciels ne suffit-elle pas pour le SaaS ?
La gestion classique des actifs logiciels repose sur l’inventaire des appareils, mais les applications SaaS sont utilisées via le navigateur et ne laissent aucune trace d’installation. De plus, les licences sont liées aux identités des utilisateurs et non au matériel.
Comment rendre visible l’utilisation du SaaS dans l’entreprise ?
Par l’intégration avec des systèmes SSO comme Azure AD ou Okta, des requêtes API auprès des fournisseurs de SaaS et la surveillance réseau via des proxys. En complément, l’analyse des relevés de cartes de crédit et des factures est utile.
Quel rôle joue la shadow IT dans l’utilisation du SaaS ?
Les services métiers commandent souvent de manière autonome des outils SaaS comme HubSpot ou Canva, sans implication de l’IT. Cela entraîne des coûts non clarifiés, des risques de sécurité et des pertes de données.
Pourquoi le rightsizing est-il plus important que la conformité pour le SaaS ?
Avec le SaaS, c’est l’utilisation réelle par les utilisateurs qui compte, et non l’installation. Les licences superflues ou inutilisées engendrent des coûts inutiles, d’où l’importance d’ajuster les quantités et les types de licences.
Quelles sources de données aident à recenser les coûts SaaS ?
Les relevés de cartes de crédit, les rapports de dépenses et les factures des prestataires révèlent souvent des dépenses SaaS non documentées. Des termes comme « Cloud Services » ou « outils de productivité » indiquent des abonnements fantômes.
Lectures recommandées par la rédaction
- API-First : pourquoi les architectures cloud modernes reposent sur la conception d’API
- Pretext : une bibliothèque JavaScript résout-elle le problème vieux de 30 ans des navigateurs – ou n’est-ce que du battage médiatique ?
- AWS vs. Azure vs. Google Cloud 2026 : la comparaison honnête pour les entreprises DACH
Plus dans le réseau MBF Media
SecurityToday | MyBusinessFuture | Digital Chiefs
Source de l’image : Unsplash / Christina @ wocintechchat.com
