Livre blanc. Escrow Agreement & maîtrise des risques logiciels et systèmes. juin Présentation, mise en œuvre, exemples

Transcription

1 Livre blanc juin 2014 Escrow Agreement & maîtrise des risques logiciels et systèmes Présentation, mise en œuvre, exemples

2 Sommaire INTRO DE LA NÉCESSITÉ DE PROTÉGER LES ACTIFS SPÉCIFIQUES ACHETÉS POUR SON ORGANISATION. 4 LES TENDANCES MAJEURES LA DÉPENDANCE CLIENT-FOURNISSEUR UNE RELATION ASYMÉTRIQUE IDENTIFIER LES ACTIFS NUMÉRIQUES À RISQUES LES RISQUES FOURNISSEURS EXTRÊMES MAÎTRISER LES RESSOURCES EXTERNES SPÉCIFIQUES COMMENT METTRE EN PLACE L ESCROW AGREEMENT DANS LA STRATÉGIE ACHAT? FAUT-IL MODIFIER LE CONTRAT EXISTANT? QUAND FAUT-IL METTRE EN PLACE L ESCROW AGREEMENT? QUI PAIE LA PRESTATION? QUELS ACTIFS PROTÉGER PAR L ESCROW AGREEMENT?.. 20 LES 6 POINTS À VÉRIFIER L ESCROW AGREEMENT, UNE GARANTIE CONTRE LA DÉFAILLANCE FOURNISSEUR QU EST-CE QUE L ESCROW AGREEMENT? UN POINT DE DROIT LES CLAUSES LIBÉRATOIRES EXEMPLES ET ETUDES DE CAS CAS 1 : ACHAT D UN APPLICATIF CAS 2 : SE PRÉMUNIR D UNE DÉFAILLANCE FOURNISSEUR. 23 CAS 3 : FOURNISSEUR À L ÉTRANGER CONVENTION TRIPARTITES OU BIPARTITES? UNE PORTÉE INTERNATIONALE DES GARANTIES ADAPTÉES AUX ENJEUX GRÂCE À L ESCROW AGREEMENT VÉRIFIÉ CONCLUSION LE RÔLE DE L ESCROW AGREEMENT DANS LA STRATÉGIE DE GARANTIE DES RESSOURCES EXTERNES UNE BONNE PRATIQUE UN NIVEAU DE GARANTIE ÉLEVÉ LES DIFFÉRENTS NIVEAUX DE GARANTIE CONTINEW EN QUELQUES MOTS LES MÉTIERS DE CONTINEW LA VÉRIFICATION PAR UN TIERS IMPLANTATION ESCROW AGREEMENT ET RÉFÉRENTIELS D AMÉLIORATION NOS RÉFÉRENCES CLIENTS

3 INTRO DE LA NÉCESSITÉ DE PROTÉGER LES ACTIFS SPÉCIFIQUES ACHETÉS POUR SON ORGANISATION LES TENDANCES MAJEURES Les entreprises ne sont pas autosuffisantes et dépendent de partenaires externes pour disposer des ressources dont elles ont besoin pour fabriquer et vendre leurs produits ou services. Ces échanges peuvent prendre la forme de transactions uniques, d opérations de sous-traitance ou de partenariats de longue durée. Pour innover, avancer et apporter de la valeur à ses clients, l organisation a besoin d intégrer de plus en plus d actifs numériques au cœur de l ensemble de ses processus de gestion et de fabrication. Ces actifs numériques (logiciels, progiciels, développements spécifiques de cartes électroniques, ) sont au cœur de leur valeur ajoutée totale délivrée par l entreprise. L organisation doit être consciente que tout nouvel actif numérique spécifique acheté porte avec lui une relation de dépendance client-fournisseur à risque pour l activité de l entreprise. En parallèle, la maîtrise des exigences Qualité-Coût-Délai (QCD) induisent un raccourcissement des temps disponibles et conduisent très souvent à la sélection rapide de partenaires, à la création d alliances ou encore à l utilisation de produits achetés à des prestataires. Lesquels produits ou solutions présentent l avantage de pouvoir répondre aux exigences de QCD mais peuvent introduire des risques asymétriques de dépendance client-fournisseur et de non-maîtrise pour l organisation. LA DÉPENDANCE CLIENT-FOURNISSEUR Aujourd hui, une part croissante d applications logicielles et électroniques spécifiques achetées en dehors de l organisation se trouvent au cœur des processus de production et de gestion de l entreprise. L externalisation du développement et de la conception de nouveaux services ou de nouveaux produits est aujourd hui très largement indispensable car elle apporte la plus grande part de la valeur ajoutée dans certains secteurs industriels comme l automobile, l aéronautique, l électronique, l informatique et dans la plupart des activités de services. Cette relation est appelée alliance verticale asymétrique. UNE RELATION ASYMÉTRIQUE Pour une entreprise, les relations clients-fournisseurs asymétriques se retrouvent souvent dans les cas suivants : fournisseur exclusif ou unique objectifs distincts ou divergents entre le client et son fournisseur environnement de l entreprise (environnement politique, position dominante, ) défaillance dans la chaîne des fournisseurs (par exemple défaillance d un fournisseur de rang 2 ou plus). Les risques de relations asymétriques sont élevés dans un contexte de sous-traitance de spécialité, cas de nombreux actifs numériques. 4 5

4 INTRO DE LA NÉCESSITÉ DE PROTÉGER LES ACTIFS SPÉCIFIQUES ACHETÉS POUR SON ORGANISATION IDENTIFIER LES ACTIFS NUMÉRIQUES À RISQUES 1 Evaluation initiale & mise à jour Un actif numérique, ou capital immatériel numérique est un élément constitué par les informations et connaissances numériques détenues ou accessibles, et ayant une valeur positive pour une organisation. Capitalisation & 4 retour d expérience 2 Classement en échelle de risques Il est souvent très difficile d identifier ou de comptabiliser l ensemble des actifs numériques d une organisation, d autant qu une partie de ces actifs est située à l extérieur. Pour autant, ce capital immatériel numérique a un impact considérable sur l activité économique de l entreprise. Comme le souligne la CDAF, Compagnie des Dirigeants et Acheteurs de France [1] Le Directeur des Achats migre vers un concept de Directeur des Ressources Externes 3 Plan de réduction des risques Identifier les actifs numériques à risques Aussi, connaître et maîtriser parfaitement les risques liés aux actifs numériques est un besoin vital pour la Direction, la fonction Achat et pour les Métiers au sein de l organisation. Dans la pratique, pérenniser la détection et le traitement des risques consiste en la mise en place d un processus continu d analyse, de traitement et de retours d expérience auprès des acteurs concernés (ex: acheteurs familles, acheteurs leader, Direction achats, Direction métier, Direction technique, Direction juridique, etc.). LES RISQUES FOURNISSEURS EXTRÊMES La cartographie proposée par l AMREA - Association pour le Management des Risques et des Assurances de l Entreprise [2] permet d identifier des zones de risques forts et de risques extrêmes pour l entreprise. 6 7

5 INTRO DE LA NÉCESSITÉ DE PROTÉGER LES ACTIFS SPÉCIFIQUES ACHETÉS POUR SON ORGANISATION RISQUES EXTREMES ORIGINE FOURNISSEUR RISQUES EXTREMES ORIGINE ENTREPRISE MAÎTRISER LES RESSOURCES EXTERNES SPÉCIFIQUES Défaillance du fournisseur Dépendance au fournisseur Rapport de force inversé avec le fournisseur Absence de Plan de Continuité d Activité du fournisseur Désintérêt pour la relation contractuelle Absence de réversibilité de la prestation Sous investissement en moyens internes de pilotage des processus externalisés Il faut bien noter ici que l origine de ces risques extrêmes se trouve chez le fournisseur mais aussi plus surprenant, dans l entreprise elle-même. Les risques «Absence de réversibilité de la prestation», «Désintérêt pour la relation contractuelle» et «Absence de Plan de Continuité d Activité du fournisseur» ont très souvent pour cause racine la multiplicité des parties prenantes (achats, métiers, juriste, direction) avec des rôles et responsabilités diffus ainsi que le taux de renouvellement du personnel (turnover). Prévenir et anticiper une situation de crise liée à l arrêt du support d une application ou la disparition du fournisseur d un produit est capital pour la bonne marche de l organisation. L organisation, par l action de ses différents services (métiers, engineering, processus, DSI) dispose d un cercle de contrôle et d un cercle d influence. Le cercle de contrôle de ses actifs numériques au travers des services cités précédemment, permet la maîtrise efficace de ses processus basés sur les actifs internes de l organisation. Pour autant, une partie de ses actifs ne se trouvent pas dans le cercle de contrôle direct mais dans le cercle d influence de l organisation. Il s agit là des actifs qui sont développés et possédés par des partenaires ou des prestataires extérieurs. L enjeu pour l organisation, au travers de ses contrats, processus d achat et bonnes pratiques métier, est d étendre le cercle de contrôle sur les actifs numériques spécifiques achetés à l extérieur. Les solutions d Escrow Agreement permettent de mettre en place un plan de maîtrise continu et de contrôle des risques pour les actifs numériques. 8 9

6 1 L ESCROW AGREEMENT, UNE GARANTIE CONTRE LA DÉFAILLANCE FOURNISSEUR QU EST-CE QUE L ESCROW AGREEMENT? L étymologie du mot «escrow» provient du vieux français «escroue» que l on retrouve dans l expression «mettre sous écrou», «noter dans le registre d écrou», au sens de protéger, enfermer. Le mot anglais «agreement» signifie accord. Le but de la mise sous Escrow Agreement est d assurer au bénéficiaire de ce contrat l accès et la possible utilisation des codes sources, des documents, des dossiers techniques et tous autres éléments déposés à la survenue de certains événements prévus - les clauses libératoires et lui permettre la poursuite de son exploitation avec un minimum d impact sur son activité. UN POINT DE DROIT Le dispositif d Escrow Agreement repose sur un contrat de continuité établi entre le fournisseur (déposant), l utilisateur (bénéficiaire) et un tiers de confiance (escrow agent), avec la mise en application du principe de la stipulation pour autrui, régi par l article 1121 du Code Civil. Le fournisseur (déposant) réalise un dépôt des éléments constitutifs de l application logicielle ou électronique concernée, dont il conserve la Propriété Intellectuelle, en vue d assurer à l utilisateur (bénéficiaire) la possibilité d y accéder dans des cas préalablement définis dans les clauses libératoires du contrat ou de la convention. LES CLAUSES LIBÉRATOIRES L Escrow Agreement (en français : mise sous séquestre ou entiercement) est un dispositif juridique qui se révèle particulièrement adapté et efficace pour minimiser les risques de dépendance fournisseur dans les domaines industriels et les domaines des technologies de l information. La mise en place d un contrat associé à une vérification technique du logiciel ou de l équipement permet d assurer sur le long terme la disponibilité et la continuité attendues par le bénéficiaire et ses utilisateurs, tout en garantissant le respect des droits de Propriété Intellectuelle (PI) du déposant. Le contrat de continuité a pour objet de prévoir dans quelles conditions l utilisateur (bénéficiaire) pourra accéder aux éléments déposés chez le tiers de confiance par le fournisseur (déposant). Les clauses libératoires constituent le cœur d une convention de mise sous séquestre (Escrow Agreement). Il s agit le plus souvent de la défaillance du fournisseur qui peut se traduire par une procédure collective, l arrêt de la maintenance du logiciel ou du produit, l arrêt de l activité, l incapacité à atteindre certains objectifs, etc

7 1 L ESCROW AGREEMENT, UNE GARANTIE CONTRE LA DÉFAILLANCE FOURNISSEUR CONVENTION TRIPARTITES OU BIPARTITES? Deux types de convention ou contrat sont principalement mises en œuvre dans les procédures d Escrow Agreement : la convention tripartite et la convention bipartite. L ACCORD BIPARTITE (CONVENTION 2P) Un accord bipartite (ou convention 2P) engage deux parties prenantes : le déposant (fournisseur) et le tiers de confiance. Il s accompagne d une liste de un ou plusieurs bénéficiaires. DÉPOSANT BÉNÉFICIAIRE L avantage principal de cet accord permet de faire évoluer très simplement la liste des bénéficiaires, sans devoir établir un accord spécifique à chaque nouveau client. ESCROW AGENT LES RELATIONS DANS UN CONTRAT D ESCROW AGREEMENT L ACCORD TRIPARTITE (CONVENTION 3P) Un accord tripartite (ou convention 3P) engage trois parties prenantes : le déposant (fournisseur), le bénéficiaire (client/utilisateur) et l escrow agent (tiers de confiance). L avantage principal de cet accord permet d organiser dans le détail le fonctionnement, les rôles et les responsabilités entre les différentes parties. Il convient parfaitement dans le cas d un fournisseur répondant au besoin d un unique bénéficiaire. Il permet notamment la personnalisation fine des clauses libératoires et du référentiel de vérification. En revanche, l accord tripartite est moins bien adapté dans le cas où le fournisseur souhaite apporter des garanties à plusieurs de ses clients pour un même produit. Toutefois, en contrepartie de son côté générique, l accord bipartite ne permet pas à un nouveau bénéficiaire de faire évoluer simplement les clauses libératoires ou le référentiel de vérification applicables. UNE PORTÉE INTERNATIONALE Les conventions d «Escrow Agreement» (contrat de mise sous séquestre) déclinées pour le logiciel ou les actifs numériques ont une portée internationale. Elles s appuient sur le droit d auteur reconnu par tous les pays signataires de la Convention de Berne (167 pays signataires en 2014), régi, en France, par les articles L111-1 et suivants du Code de la Propriété Intellectuelle. Cette portée internationale permet, à l heure de la globalisation et de la mondialisation des échanges de disposer d une garantie adaptée lors d achat ou de vente mettant en œuvre des actifs numériques spécifiques

8 2 DES GARANTIES ADAPTÉES AUX ENJEUX GRÂCE À L ESCROW AGREEMENT VÉRIFIÉ UNE BONNE PRATIQUE Le bénéficiaire de la convention d «Escrow Agreement» a besoin de la garantie que le contenu du dépôt mis sous séquestre permet effectivement de poursuivre l exploitation du logiciel, la production de l équipement ou du système concerné en cas de défaillance du fournisseur (déposant). Si le bénéficiaire demande parfois à vérifier luimême le contenu du dépôt, le déposant préfère très souvent la solution d une vérification par un tiers, pour des raisons de confidentialité et d indépendance. UN NIVEAU DE GARANTIE ÉLEVÉ La vérification technique du contenu du dépôt, en amont, est indispensable pour garantir sur le long terme la maintenance du logiciel ou de l équipement. La défaillance peut en effet survenir plusieurs années après le dépôt. Or si le dépôt n a pas été vérifié et mis à jour régulièrement, rien ne garantit que l ensemble des éléments soient présents, complets et donc utilisables pour la régénération. Le niveau de garantie et la vérification technique des dépôts sont intrinsèquement liés. LES DIFFÉRENTS NIVEAUX DE GARANTIE Trois niveaux de garantie sont couramment retenus lors de contrats d achats de prestations ou produits pour garantir l éventuelle défaillance d un fournisseur, d un partenaire ou d un prestataire. DÉPOSANT Fournisseur Partenaire Constructeur NIVEAU 1 : DÉPÔT SIMPLE Niveau de garantie Niveau 3 Escrow Agreement + dépôt vérifié Niveau 2 Escrow Agreement simple Niveau 1 Dépôt simple Clients Donneurs d ordre Les exigences contractuelles de continuité sont parfois couvertes par le fournisseur par la réalisation d un dépôt auprès d un tiers de type notaire, avocat, huissier ou agent spécialisé. Le dépôt simple ne permet pas l accès en cas de défaillance fournisseur ni la vérification et la mise à jour de contenu du dépôt. NIVEAU 2 : ESCROW AGREEMENT SIMPLE BÉNÉFICIAIRE L Escrow Agreement simple, à la différence du dépôt simple, permet une réponse améliorée aux exigences contractuelles en garantissant au bénéficiaire un accès aux éléments déposés si une des clauses libératoires est avérée. La vérification et la mise à jour du contenu du dépôt ne sont pas inclues dans ce type de prestation. NIVEAU 3 : ESCROW AGREEMENT + DÉPÔT VÉRIFIÉ Une vérification est réalisée en amont de la mise sous Escrow Agreement afin de garantir au bénéficiaire l accès à un dépôt constitué de documents, dossiers et sources intègres et complètes

9 2 DES GARANTIES ADAPTÉES AUX ENJEUX GRÂCE À L ESCROW AGREEMENT VÉRIFIÉ LA VÉRIFICATION PAR UN TIERS La mission de vérification consiste à contrôler la complétude et la cohérence du dépôt d un point de vue technique (codes sources, environnement de développement, dossiers de définition, documents, ) et d un point de vue contractuel (licences, propriété intellectuelle, ) afin d apporter au bénéficiaire la garantie de pouvoir régénérer le logiciel ou poursuivre la fabrication de l équipement ou du système concerné indépendamment du fournisseur initial. Le retour d expérience dans le domaine des actifs numériques démontre qu un dépôt non vérifié est un dépôt qui présente une probabilité très importante d être partiellement ou complètement inutilisable au moment de son ouverture. ESCROW AGREEMENT ET RÉFÉRENTIELS D AMÉLIORATION Les entreprises appuient largement leur plan d amélioration sur des référentiels spécialisés, ensemble structuré de bonnes pratiques, pour appréhender, évaluer et améliorer leurs activités d ingénierie. L utilisation de l Escrow Agreement est une bonne pratique qui s intègre naturellement dans ces référentiels. CMMI Le référentiel CMMI (Capability Maturity Model Integration [3]) est largement employé par les entreprises d ingénierie informatique, les directeurs des systèmes informatiques et les industriels pour évaluer et améliorer leurs propres développements de produits. L utilisation d Escrow Agreement est une bonne pratique liée aux domaines de processus «Gestion des fournisseurs» et «Gestion des risques». La qualité de la vérification est au cœur de la garantie apportée en cas d accès aux éléments du dépôt. Les équipes techniques de l escrow agent (tiers de confiance) appliquent une méthodologie et un processus qualifié de vérification qui leur permettent de garantir efficacement la complétude et l intégrité des données du dépôt. ITIL Le référentiel ITIL (Information Technology Infrastructure Library [4]) est un ensemble de bonnes pratiques du management du système d information. L utilisation d Escrow Agreement est une bonne pratique liée aux processus «Gestion de la continuité (BCM)», «Gestion de la sécurité» et «Gestion des fournisseurs»

10 3 COMMENT METTRE EN PLACE L ESCROW AGREEMENT DANS LA STRATÉGIE ACHAT? FAUT-IL MODIFIER LE CONTRAT EXISTANT? La plupart des contrats d achats de prestations spécifiques incluent la clause de «défaillance fournisseur». En cas de défaillance, le fournisseur s engage à mettre à disposition du client final les éléments nécessaires pour garantir la continuité et la maintenance du support du logiciel ou de la solution. La mise en place d un Escrow Agreement vient simplement préciser les rôles et responsabilités de chacune des parties prenantes ainsi que les engagements contractuels et les étapes de vérification qui seront réalisées tout au long de la durée du contrat. Les jalons clés pour initialiser l Escrow Agreement sont : à la signature du contrat principal, lors de la phase de développement, lors des phases de recette ou de maintenance. Une des bonnes pratiques est également d utiliser le premier certificat d Escrow Agreement comme clé de paiement de jalon du projet de développement. Le contrat existant est simplement enrichi et détaillé par la convention d Escrow Agreement. QUI PAIE LA PRESTATION? QUAND FAUT-IL METTRE EN PLACE L ESCROW AGREEMENT? Il est fortement recommandé de mettre en place une solution d Escrow Agreement en amont d une défaillance ou d un arrêt du support d une solution. Il est donc important d anticiper la survenue d un tel événement. Il est en effet beaucoup plus facile d établir ce type de contrat lorsque les équipes sont constituées et pleinement actives. Il est en revanche beaucoup plus difficile d initier un Escrow Agreement lorsque la relation entre un fournisseur et son client est dégradée voire inexistante. Pour autant, ce type de contrat peut être mis en place à tout moment de la relation entre le fournisseur et son client. En l absence de garanties apportées par un Escrow Agreement, l essentiel des coûts liés à la défaillance fournisseur est principalement supporté par le client final qui va devoir redévelopper, requalifier, redistribuer, former à nouveau ses équipes et adapter ses processus à cette nouvelle solution. Le bénéficiaire principal de l Escrow Agreement étant l utilisateur final, c est lui qui, en général, finance la prestation. Dans la pratique, les premières phases d initialisation et de vérifications sont payées par le bénéficiaire. A noter que certains éditeurs de solutions financent pour leurs propres développements la mise en place d un Escrow Agreement de manière à apporter à titre commercial et marketing les garanties nécessaires que certains de leurs clients peuvent exiger

11 3 COMMENT METTRE EN PLACE L ESCROW AGREEMENT DANS LA STRATÉGIE ACHAT? QUELS ACTIFS PROTÉGER PAR L ESCROW AGREEMENT? L établissement de contrat d Escrow Agreement est particulièrement adapté dans les domaines industriels et le domaine des techniques de l information. Son utilisation permet de protéger et garantir efficacement les actifs numériques spécifiques. LES 6 POINTS À VÉRIFIER Lorsqu une entreprise fait appel à un fournisseur ou un prestataire extérieur, les 6 points suivants doivent impérativement être vérifiés pour évaluer le niveau de maîtrise du risque fournisseur. 1 Le contrat intègre-t-il une clause de défaillance fournisseur? Exemples : SOFTWARE ESCROW SYSTEM ESCROW 2 Les clauses libératoires pour accéder au dépôt sont-elles cohérentes avec les enjeux coûts et délais de l organisation? Logiciels et applicatifs de gestion Logiciels embarqués Logiciels et applicatifs métiers Logiciels en marque blanche Briques logicielles Progiciels, configurations spécifiques Systèmes électroniques et équipements Matériels spécifiques Outillages, testeurs, bancs Simulateurs Etc Un dépôt des sources et dossier technique a-t-il été réalisé? Qui a vérifié la complétude et l intégrité du dépôt? Quelle est la date de dernière mise à jour du dépôt? Applications passerelles, connecteurs Logiciels, pilotes Compilateurs Apllications smartphones 6 Qui s engage sur la réutilisation possible du dépôt auprès de l entreprise? Etc. Cette liste de vérification permet une première évaluation de l exposition de l entreprise au risque de défaillance fournisseur

12 4 EXEMPLES ET ETUDES DE CAS CAS 1 : ACHAT D UN APPLICATIF ENJEU Le client dans le domaine de la finance propose une plateforme de services à ses clients, basée sur un applicatif développé par un fournisseur spécialisé. La propriété intellectuelle de ce logiciel n est pas disponible, l éditeur ne souhaite pas la vendre. Les enjeux pour le client sont de disposer d un plan de continuité applicative du service. La défaillance de ce fournisseur impacterait en effet des milliers de clients. SOLUTION MISE EN PLACE Un Escrow Agreement software a été mis en place en complément du contrat d achat. Une vérification des éléments est réalisée chaque année par CONTINEW pour garantir au client l intégrité des logiciels déposés par rapport aux logiciels en production. PARTICULARITÉ DE CE CAS Entre deux jalons de mise à jour, l équipe de l éditeur a été profondément remaniée. Pour autant, le processus de rappel à la date anniversaire a permis la mise à jour des versions logicielles, comme attendue par le client. CAS 2 : SE PRÉMUNIR D UNE DÉFAILLANCE FOURNISSEUR ENJEU La solution achetée par le client à l issue d un processus de qualification est un équipement électronique intégrant un logiciel spécifique dans le domaine de l énergie. Dans ce domaine particulier, les contraintes réglementaires des autorités de tutelle imposent la pérennité des solutions techniques sur toute la durée de vie de l équipement ou du logiciel. L enjeu pour ce client est de pouvoir répondre à des exigences de maintenance et de livraison de pièces de rechange sur une période de 10 ans. SOLUTION MISE EN PLACE Un contrat d Escrow Agreement système avec mise sous séquestre du dossier de définition est signé entre le client, le fournisseur et CONTINEW. La complétude des dossiers mécaniques, électroniques et logiciels déposés est vérifiée par l équipe technique de CONTINEW. Après traitement des actions correctives, le dépôt est accepté et placé dans un environnement à sécurité forte

13 4 EXEMPLES ET ETUDES DE CAS CONCLU- SION LE RÔLE DE L ESCROW AGREEMENT DANS LA STRATÉGIE DE GARANTIE DES RESSOURCES EXTERNES CAS 3 : FOURNISSEUR À L ÉTRANGER ENJEU La solution achetée par un constructeur est un équipement électronique intégrant des logiciels spécifiques dans le domaine du transport. A l issue d un processus de qualification, un fournisseur en Europe du Nord a été sélectionné pour développer et adapter une solution existante. Le client final du constructeur exige contractuellement une maintenance de tous les équipements pendant 20 ans. Le constructeur cherche une solution efficace pour répercuter ces exigences vers son fournisseur. Les actifs numériques sont indispensables pour l entreprise. Certains actifs numériques à l extérieur de l entreprise portent des risques extrêmes pour l activité de l organisation. La mise en place d un contrat d Escrow Agreement ou mise sous séquestre permet de maîtriser efficacement ce type de risque. En cas de défaillance fournisseur, l accès à un dépôt vérifié par un tiers, objet du contrat d Escrow Agreement, évite à l entreprise des phases extrêmement coûteuses en délai, budget, ressources humaines et apporte un retour sur investissement très élevé. Coûts SOLUTION MISE EN PLACE Un Escrow Agreement système accompagné d une vérification de l ensemble des dossiers est signé entre les parties prenantes. Il inclut notamment l obligation pour le fournisseur d une mise à jour à la date anniversaire du dépôt. FORMATION RE-DÉPLOIEMENT RE-QUALIFICATION GAINS PARTICULARITÉ DE CE CAS Dans ce dossier, le fournisseur basé en Europe du Nord a pu réaliser à distance et en toute sécurité, le dépôt des éléments techniques, limitant ainsi au maximum les déplacements, grâce à la plateforme de continuité spécialisée de CONTINEW. RE-DÉVELOPPEMENT SANS Escrow Agreement TRANSFERT AVEC Escrow Agreement Un retour sur investissement très élevé L Escrow Agreement avec un niveau de vérification adapté aux enjeux de l entreprise est une bonne pratique qui devient indispensable pour la maîtrise efficace des actifs numériques achetés

14 REFERENCES ET SOURCES [1] CDAF - Compagnie des Dirigeants et Acheteurs de France - Jean Pierre Rouffet, Président Rhône-Alpes. [2] AMRAE - Association pour le Management des Risques et des Assurances de l Entreprise. [3] CMMI - Capability Maturity Model Integration - CMMI est une marque déposée par le Software Engineering Institute. [4] ITIL - Information Technology Infrastructure Library. [5] «Dépendance asymétrique dans les alliances verticales» - Carole DONADA

15 CONTINEW EN QUELQUES MOTS Spécialiste de la continuité numérique des organisations, CONTINEW fournit une plateforme de services de mise sous séquestre et de vérification permettant de sécuriser les actifs numériques spécifiques des entreprises. IMPLANTATION LES MÉTIERS DE CONTINEW Paris La protection des actifs logiciels (Software Escrow Agreement) CONTINEW Software Roanne 2 AGENCES La protection des systèmes et équipements (System Escrow Agreement) CONTINEW Système NOS RÉFÉRENCES CLIENTS La protection des contenus et développements numériques CONTINEW Antériorité CONTINEW Dépôt La protection des sites internet CONTINEW Web 28 29

16 Contactez-nous Paris avenue Ledru-Rollin Paris T. +33 (0) Roanne 27 rue Lucien Langénieux Roanne T. +33 (0) COPYRIGHT 2014 Les copyrights de l ensemble de l étude «Livre blanc : Escrow Agreement & maîtrise des risques logiciels et systèmes» par CONTINEW et de ses illustrations graphiques sont la propriété exclusive de CONTINEW. L utilisation des informations de l étude «Livre blanc : Escrow Agreement & maîtrise des risques logiciels et systèmes» par CONTINEW n est autorisée que pour un usage individuel. Pour tout autre usage, prendre contact avec le directeur de la publication. 30