Les attestations ISAE comme différentiateur concurrentiel

La référence sur le marché international pour les prestataires de services IT.

De plus en plus de prestataires de services suisses voient les avantages que procure l’obtention de rapports d'attestation ISAE en plus de montrer à leurs clients qu'ils ont le contrôle. Ils commencent à utiliser ces rapports pour se démarquer sur un marché très concurrentiel, au niveau tant local que mondial.

Aujourd'hui, le standard ISAE est la référence internationale concernant les prestataires de services, qu'il s'agisse de l’ISAE3402, qui est spécifique aux services financiers, ou de l'ISAE3000 / SOC 2, qui concerne les aspects tels que la sécurité, la disponibilité et la confidentialité. Alors que le processus pour obtenir de tels rapports peut être long et coûteux, il est devenu une nécessité pour beaucoup de prestataires de services, notamment en Suisse. Face à l'intensification des pressions réglementaires et aux attentes accrues des clients, démontrer qu'un système de contrôle interne solide est mis en œuvre est essentiel en cette époque marquée par l'hyper-connectivité. Selon une étude KPMG, plus de 75% des sociétés considèrent que la gestion des risques de tiers constitue une priorité stratégique.

François El Assad

Director, Assurance Technology

KPMG Switzerland

Le standard ISAE en tant que catalyseur de développement commercial

Toutefois, nous avons eu récemment des discussions avec plusieurs prestataires de services qui voulaient utiliser ces rapports comme catalyseur dans leur stratégie de développement commercial. Alors que des restrictions strictes s'appliquent à la distribution de ces derniers, les prestataires de services peuvent néanmoins informer leurs clients et prospects que les services qu'ils proposent sont soumis à de telles attestations, ce qui fait une grosse différence. 

Augmentation du nombre de services IT externalisés

L'évolution du marché et l'accélération de la transformation digitale de ces deux dernières années ont modifié les règles du jeu. Les sociétés externalisent de plus en plus de services IT, qu'il s’agisse de l’hébergement de serveurs ou du «software-as-a-service» (SaaS), et doivent obtenir une assurance concernant ces services externalisés. La plupart des grands prestataires de services ont pu montrer l'efficacité de leurs contrôles à l'aide de rapports ISAE depuis des décennies (depuis le début des années 2000 et la mise en œuvre de Sarbanes-Oxley), mais un nombre croissant de prestataires plus petits prennent aussi cette direction. En Suisse, l'évolution est progressive mais elle s'est accélérée au cours de l'année écoulée face à la concurrence que se livrent les sociétés pour rester dans la course.

Un incontournable

Nous aidons aussi régulièrement nos clients à évaluer et choisir des prestataires de services, et nous pouvons confirmer que le standard ISAE est en train de devenir une exigence incontournable. Par exemple, l'un de nos clients a récemment évalué plusieurs prestataires potentiels pour l'hébergement, l'assistance et la maintenance de son environnement SAP. L'une de ses exigences était de bénéficier d’un service qui ne risquait pas de mettre son audit financier en péril en raison d'un changement de prestataire. Au final, il a retenu uniquement les candidats qui établissaient un rapport ISAE3402, ne laissant aucune chance aux autres, même ceux disposant de certifications telles que l'ISO 27001. Il était alors clair qu'il n'est pas possible de se passer d'une attestation ISAE, même si vous commercialisez vos services de manière optimale.

Qu'allez-vous faire?

Au vu des discussions que nous avons eues avec nos clients ces dernières années, il est temps pour tous les prestataires de services suisses d'investir dans des attestations ISAE. Le marché suisse regorge d'acteurs très compétitifs, et il serait dommage de passer à côté de ces nombreuses opportunités.