SLA (Service-Level Agreement) : qu'est-ce que c'est ?

Un Service Level Agreement (SLA) définit le niveau de service qu'un client attend de son fournisseur. Il fournit également des solutions lorsque les attentes de ce client ne sont pas satisfaites. Destiné à baliser le bon déroulement d'un projet, le SLA est un élément incontournable de tout contrat signé avec un prestataire informatique.

La plupart du temps, un SLA ou « accord de niveau de service » est conclu entre une entreprise et un prestataire externe. Toutefois, il peut aussi l'être entre deux services d'une même structure.

Très souvent lié à l'univers du cloud, le SLA est nécessaire pour assurer le bon déroulement d'un projet informatique. Il peut également concerner les services techniques non informatiques, les services de conseil ou encore les services de base comme la fourniture de certains produits.

Bon à savoir : lorsque l'entreprise fait appel à plusieurs fournisseurs, elle doit conclure un SLA différent pour chaque prestataire.

Quels sont les enjeux cybersécurité et conformité des SLA ?

La cybersécurité représente aujourd'hui un enjeu majeur des SLA, particulièrement dans un contexte où les cyberattaques se multiplient et se sophistiquent. Les accords de niveau de service doivent aujourd'hui intégrer des clauses spécifiques liées à la protection des données et à la gestion des incidents de sécurité pour garantir une résilience optimale des systèmes d'information.

Protection des données et conformité RGPD

Le Règlement Général sur la Protection des Données (RGPD) impose aux entreprises des obligations strictes concernant le traitement des données personnelles. Un SLA efficace doit explicitement mentionner les responsabilités du fournisseur en matière de protection des données, notamment :

• Les mesures techniques et organisationnelles mises en place pour garantir la confidentialité des données.
• Les procédures de notification en cas de violation de données, avec des délais précis (généralement sous 72 heures conformément au RGPD).
• Les modalités d'exercice des droits des personnes concernées (droit d'accès, de rectification, d'effacement).
• Les conditions de transfert des données hors de l'Union européenne, si applicable.
• Les garanties concernant la sous-traitance et la chaîne de responsabilité.

Gestion des incidents et plan de continuité

Face à l'augmentation des risques cyber, le SLA doit préciser clairement les procédures de gestion des incidents de sécurité. Ces clauses déterminent :

• La classification des incidents selon leur gravité et leur impact potentiel.
• Les délais de réponse et de résolution spécifiques pour chaque niveau de gravité.
• Les canaux de communication à utiliser en cas d'incident.
• Les responsabilités respectives du client et du fournisseur dans la gestion de crise.
• Les modalités de mise en œuvre du plan de continuité d'activité (PCA) et du plan de reprise d'activité (PRA).

Un SLA robuste prévoit également des exercices réguliers de simulation d'incidents pour tester l'efficacité des procédures mises en place. Cette approche proactive permet d'identifier les faiblesses potentielles et d'améliorer continuellement la résilience du système.

Traçabilité et audits de sécurité

La traçabilité des mesures de sécurité constitue un élément fondamental d'un SLA orienté cybersécurité. Elle permet de démontrer la conformité aux exigences réglementaires et contractuelles. Un SLA complet doit donc prévoir :

• Des mécanismes de journalisation (logging) des événements de sécurité.
• La conservation des logs pendant une durée définie, généralement entre 6 mois et 2 ans selon les secteurs.
• Des audits de sécurité réguliers, avec une fréquence et une portée clairement définies.
• La production de rapports de conformité périodiques (SOC 2, ISO 27001, entre autres).
• Le droit pour le client de réaliser des tests d'intrusion ou des audits indépendants.

Ces mécanismes de traçabilité permettent non seulement de détecter rapidement les incidents de sécurité, mais aussi de fournir les preuves nécessaires en cas de litige ou d'enquête réglementaire.

Chiffrement et souveraineté des données

La protection des données sensibles nécessite des mesures de chiffrement adaptées, qui doivent être clairement spécifiées dans le SLA. Ces clauses précisent :

• Les algorithmes et protocoles de chiffrement utilisés.
• Les modalités de gestion des clés de chiffrement.
• Le chiffrement des données au repos et en transit.
• La localisation géographique des données et les garanties de souveraineté numérique.
• Les certifications de sécurité des centres de données utilisés.

La question de la souveraineté des données prend une importance croissante dans les SLA, particulièrement pour les entreprises soumises à des réglementations sectorielles strictes comme les établissements financiers ou les organismes de santé.

Mise à jour et patch management

Les vulnérabilités logicielles représentent une porte d'entrée privilégiée pour les cyberattaquants. Un SLA efficace doit donc définir précisément les responsabilités en matière de gestion des mises à jour :

• Les délais d'application des correctifs de sécurité critiques.
• La fréquence des mises à jour de sécurité planifiées.
• Les procédures de test préalable à l'application des mises à jour.
• La gestion des interruptions de service liées aux mises à jour.
• La communication préalable des fenêtres de maintenance.

Ces clauses permettent de maintenir un niveau de sécurité optimal tout en minimisant l'impact sur la disponibilité des services, équilibrant ainsi sécurité et performance.

Quel est l'intérêt du Service Level Agreement ?

• S'assurer d'une qualité de service optimale
• Prendre en compte les exigences du client donneur d'ordre et des utilisateurs finaux
• Clarifier les rôles et responsabilités
• Minimiser les risques et améliorer la disponibilité
• Identifier les métriques de performance

S'assurer d'une qualité de service optimale

Lors de la rédaction du SLA, le client et son fournisseur commencent par prendre en compte des critères précis afin de définir le niveau de service choisi. Si ce niveau de service n'est pas atteint, le fournisseur peut être contraint à payer des pénalités plus ou moins élevées. Son fournisseur ne souhaitant pas s'exposer à de telles sanctions, le client s'assure ainsi qu'il mettra tout en œuvre pour lui offrir le plus haut niveau de prestation possible correspondant aux termes du SLA.

Prendre en compte les exigences du client donneur d'ordre et des utilisateurs finaux

Dès le début de la collaboration entre un prestataire informatique et son client, le SLA permet de fixer les services attendus, les niveaux de performance, les délais de réponses, et autres. En cas de litige ou d'incompréhension, le SLA est alors le document faisant foi. Il contractualise les attentes du client donneur d'ordre, souvent elles-mêmes basées sur les attentes de ses propres clients.

Exemple : une entreprise e-commerce se doit d'avoir un site web performant qui offre aux internautes la meilleure expérience client possible. Ces derniers doivent à tout moment pouvoir interagir avec la marque, passer des commandes en ligne, poser des questions sur le chat. Des pannes à répétition ou des périodes d'indisponibilité créent de l'insatisfaction, tant pour les utilisateurs finaux que pour l'entreprise cliente. 

Clarifier les rôles et responsabilités

Un SLA permet de mettre par écrit et d'identifier clairement les responsabilités de toutes les parties. En signant un tel accord, clients et fournisseurs s'engagent à respecter leur rôle et les processus indiqués. L'identification des obligations de chaque partie prenante pose alors les bases d'une véritable relation de confiance. Le SLA apporte ainsi plus de fluidité et de sérénité dans la communication et permet de régler plus facilement les éventuels litiges en cas de défaillance.

Minimiser les risques et améliorer la disponibilité

Le SLA définit les critères que le prestataire doit respecter en termes de disponibilité des services fournis. Délai d'intervention, durée maximale d'attente entre une panne ou un sinistre et la remise en service. Le client s'assure ainsi d'une continuité de service optimisée : si son site web subit une panne qui le rend inaccessible, il sait qu'il peut compter sur son fournisseur pour intervenir dans les délais décrits dans le SLA.

Identifier les métriques de performance

Un SLA peut fixer les KPI quantifiables qui seront utilisés durant la relation contractuelle pour évaluer la performance du service informatique. Ces KPI seront principalement liés à la disponibilité et au temps de résolution des problèmes. Le fait de poser à l'écrit ces critères permet d'éviter tout malentendu ou mauvaise interprétation des résultats de performance.

Bon à savoir : si la plupart des fournisseurs de services présentent leur propre SLA, il est indispensable que le client l'étudie de manière assidue, si possible avec son conseiller juridique, pour vérifier qu'il lui est aussi favorable. Attention, si le fournisseur change, il est possible que l'accord passé avec le précédent prestataire doive être renégocié.

Que contient un SLA ?

Un Service Level Agreement peut prendre la forme d'un document physique ou électronique. Il s'agit généralement d'une annexe au contrat de prestation établi entre le client et le prestataire en développement informatique.

Le SLA comprend généralement les éléments suivants :

• La description des services couverts.
• Le niveau de performance et son évaluation.
• La garantie de temps d'intervention (GTI).
• La garantie de temps de rétablissement (GTR).
• Les mesures de sécurité et la gestion des risques.
• Les autres éléments obligatoires du contrat SLA.

La description des services couverts

Indispensablement, le contrat comporte une description détaillée des services fournis en précisant leurs applications selon les situations rencontrées. Les conditions de livraison et services connexes fournis, comme le reporting des résultats, doivent également être précisées. Le SLA mentionne les modalités des prestations rendues, les détails des différents processus utilisés et les technologies mises à disposition.

Le niveau de performance et son évaluation

Le contrat précise le niveau de service proposé par le prestataire selon les désidératas du client. Il indique également les métriques, KPI, qui permettent de mesurer ce niveau de service.

Un reporting d'indicateurs mesure alors les éléments clés de la performance de la prestation notamment le taux de disponibilité du service, le taux d'erreurs constatées ou le niveau de sécurité.

Le contrat précise également le processus de révision qui permet d'évaluer les services. Cette analyse révèle alors leurs performances, leurs atouts, leurs faiblesses pour y apporter des améliorations.

La garantie de temps d'Intervention (GTI)

La GTI détermine le délai dans lequel le fournisseur intervient à la suite d'un incident au sein de l'installation de son client. Cette métrique ne garantit, en aucun cas, la durée pour rétablir le dysfonctionnement. Le client a alors l'assurance du point de départ, de l'initialisation de l'intervention et non de sa durée.

La garantie de temps de rétablissement (GTR)

Le GTR définit la durée maximale de rétablissement à la suite d'un incident technique. Elle peut varier selon le type de dysfonctionnement pour répondre aux besoins du client.  Le prestataire de service doit alors évaluer la criticité de chaque incident pour déterminer l'intervalle du temps de son intervention. Par exemple, un dysfonctionnement majeur peut nécessiter une prise en charge immédiate et courte. En effet, le fournisseur doit alors être très réactif pour satisfaire son client (et donc les clients de son client). La satisfaction des diverses modalités de cette garantie permet l'établissement d'une relation de confiance.

Les mesures de sécurité et la gestion des risques

Une bonne gestion des risques en cas de sinistre est primordiale pour éviter à l'entreprise de stopper son activité. Dans le domaine informatique, la mise en place de mesures de sécurité lui permet également de protéger toutes les données stockées et traitées pour le compte de son client.

Les autres éléments obligatoires du contrat SLA

Les parties prenantes qui se sont engagées dans l'accord SLA sont définies spécifiquement dans l'accord et doivent ajouter leurs signatures sur le contrat.

Il faut également préciser les tarifs et les frais d'utilisation du service, ainsi que les pénalités en cas de manquement de la part du fournisseur.

De plus, comme dans tout contrat, il faut y faire apparaître les modalités de résiliation.

Bon à savoir : Il existe des outils, dont HubSpot, pour créer et suivre un SLA.

Quels sont les types de SLA ?

Les SLA ne sont pas des documents uniformes : ils se déclinent en de multiples variantes selon la nature des services fournis, les méthodes de travail adoptées et les exigences propres à chaque secteur. Que ce soit pour encadrer la performance d'un service cloud, garantir la rapidité et la fiabilité des déploiements en environnement DevOps, ou répondre à des contraintes réglementaires strictes dans des industries spécialisées, chaque type de SLA possède ses propres indicateurs et engagements.

SLA cloud et multi-cloud

Les SLA cloud définissent les niveaux de service attendus pour les différents modèles de services cloud : Infrastructure as a Service (IaaS), Platform as a Service (PaaS) et Software as a Service (SaaS). Ces accords sont essentiels dans un environnement où les entreprises confient leurs données et applications à des fournisseurs externes.

Pour l'IaaS, le SLA se concentre principalement sur la disponibilité des ressources d'infrastructure (serveurs, stockage, réseau) et garantit généralement une disponibilité de 99,9 % à 99,999 %. Les grands fournisseurs comme AWS, Microsoft Azure ou Google Cloud Platform proposent des SLA standardisés avec des compensations financières en cas de non-respect des engagements.

Dans le cas du SaaS, le SLA couvre non seulement la disponibilité de l'application, mais également ses performances et sa sécurité. Les métriques typiques incluent le temps de réponse, le nombre d'utilisateurs simultanés supportés, et les périodes de maintenance planifiées. Par exemple, un SLA SaaS peut garantir un temps de réponse inférieur à 2 secondes pour 95 % des requêtes.

Les environnements multi-cloud, où une entreprise utilise plusieurs fournisseurs cloud, nécessitent des SLA particulièrement sophistiqués. Ces accords doivent définir clairement les responsabilités de chaque fournisseur et prévoir des mécanismes de coordination en cas d'incident.

SLA DevOps et automatisation

L'approche DevOps, qui vise à intégrer le développement logiciel et les opérations IT, a fait émerger de nouveaux types de SLA centrés sur l'agilité et l'automatisation. Ces accords mettent l'accent sur la rapidité de déploiement, la fréquence des mises à jour et la qualité du code.

Les SLA DevOps incluent généralement des métriques comme le temps moyen de déploiement (MTDD), qui mesure la durée nécessaire pour déployer une nouvelle fonctionnalité en production. D'autres indicateurs importants sont le taux d'échec des déploiements et le temps moyen de restauration (MTTR) en cas de problème.

L'automatisation joue un rôle central dans ces SLA, avec des engagements sur la mise en place de pipelines CI/CD (Intégration Continue/Déploiement Continu) et de tests automatisés. Par exemple, un SLA peut stipuler que 95 % des tests doivent être automatisés et que les résultats doivent être disponibles dans les 30 minutes suivant chaque commit de code.

Les systèmes d'alertes en temps réel constituent également un élément clé des SLA DevOps. Le prestataire s'engage à mettre en place des outils de monitoring qui détectent automatiquement les anomalies et déclenchent des alertes selon des seuils prédéfinis. Ces alertes sont souvent classées par niveau de criticité, avec des temps de réponse garantis pour chaque niveau.

SLA sectoriels spécialisés

Certains secteurs d'activité ont des exigences spécifiques qui nécessitent des SLA adaptés. Ces accords prennent en compte les contraintes réglementaires, les enjeux de sécurité et les besoins métiers propres à chaque industrie.

Dans le secteur financier (FinTech), les SLA mettent l'accent sur la sécurité des transactions et la conformité aux réglementations comme PSD2 ou DSP2. Ils garantissent généralement une disponibilité très élevée (souvent 99,999 %, soit moins de 5 minutes d'indisponibilité par an) et des temps de latence extrêmement faibles pour les systèmes de trading. La protection contre les fraudes fait également l'objet d'engagements précis, avec des métriques comme le taux de détection des transactions suspectes.

Pour le secteur de la santé (HealthTech), les SLA intègrent des clauses spécifiques sur la protection des données médicales, conformément aux réglementations comme HIPAA aux États-Unis ou le RGPD en Europe. Ils définissent des procédures strictes pour l'accès aux données patients et garantissent la traçabilité complète des actions effectuées sur ces données. La disponibilité des systèmes critiques, comme ceux utilisés en bloc opératoire, fait l'objet d'engagements particulièrement stricts.

Dans le domaine de l'éducation (EdTech), les SLA tiennent compte des pics d'utilisation liés aux calendriers académiques. Ils garantissent, par exemple, une capacité accrue pendant les périodes d'examens ou d'inscription. La protection des données des étudiants, particulièrement sensibles, fait également l'objet d'engagements spécifiques.

D'autres secteurs comme l'énergie, les transports ou la distribution ont également développé des SLA spécialisés, adaptés à leurs enjeux particuliers. Ces accords sur mesure permettent d'aligner précisément les services informatiques sur les besoins métiers et les contraintes réglementaires de chaque industrie.

Comment calculer vos KPI liés au service client ?

Utilisez ce modèle de calculateur gratuit pour établir vos KPI.

• Score de satisfaction
• Coût d'acquisition
• Taux de fidélisation
• Et plus encore

Télécharger En savoir plus Télécharger

Télécharger

Tous les champs sont obligatoires.

Merci d'avoir soumis le formulaire

Cliquez sur le lien pour accéder au contenu en tout temps

Télécharger

Comment suivre un SLA ?

Par le biais d'une mise à jour régulière

S'il est important de veiller à la rédaction de son Service Level Agreement, il est tout aussi capital de le suivre dans le temps. En effet, il ne doit jamais être considéré comme un document statique. Au contraire, le SLA doit suivre l'évolution du projet et être revu périodiquement, notamment si :

• Le client exprime de nouveaux besoins commerciaux.
• Des changements ont été constatés dans l'environnement technique du projet.
• Les process ont été modifiés.

Bon à savoir : De nombreuses entreprises révisent leur SLA tous les ans. Lorsque l'activité est importante et que l'entreprise se développe rapidement, il est toutefois nécessaire de revoir son SLA plus fréquemment.

Par le suivi de KPI pertinents

Le SLA doit faire l'objet d'un monitoring au moyen d'outils informatiques au sein desquels des alertes pourront être données en cas de problème.

La définition d'objectifs et la mise en place de KPIs permettent également de suivre son SLA, de mesurer la qualité du travail effectué et de veiller à la bonne gestion des services.

Les types de métriques à suivre seront différents selon les services fournis. Les plus couramment utilisés sont :

• Le taux de défaut : pourcentage d'erreurs commises dans les principaux livrables.
• Le taux d'abandon : pourcentage de tickets non traités dans le délai de réponse défini dans le SLA.
• Sécurité : vérification des mises à jour antivirus ou des corrections mises en place après la survenue d'un incident.
• Délai d'exécution : temps moyen nécessaire pour la réalisation d'une tâche précise.
• Résolution du premier appel : pourcentage de réclamations résolues dès la première prise de contact.
• Customer Effort Score (CES) : score de la satisfaction qui se mesure par une question post-appel du type : « Quel niveau d'effort avez-vous fourni pour obtenir une réponse ? ».
• Taux de qualité de service : nombre d'appels traités par rapport au nombre d'appels présentés.

Le rapport établi à partir de l'étude de ces éléments doit être construit à intervalles réguliers afin de vérifier que les systèmes et les processus fonctionnent comme prévu et qu'aucune infraction n'a été commise.

Suivre l'application du SLA présente de réels intérêts, à la fois pour assurer la sécurité informatique, pour éviter des conflits et pour gérer les équipes quasi en temps réel.

Exemples d'utilisation du SLA

Google Workspace

Le SLA de Google Workspace spécifie que Google devra fournir au client un pourcentage de disponibilité mensuelle de l'interface au moins égal à 99,95 %. D'autre part, Google Voice devra être opérationnel dans les deux jours ouvrés suivant l'acceptation par le client des conditions spécifiques au service vocal via la Console d'administration.

Adobe Unified

Dans son SLA, Adobe définit très clairement des objectifs de disponibilité, de temps d'arrêt et de services couverts. Si l'un d'entre eux n'est pas respecté, le client pourra bénéficier de crédits services.

Pour aller plus loin, découvrez HubSpot CRM et obtenez une visibilité complète, en temps réel, de votre pipeline de vente.