Quelles stratégies privilégier face aux audits logiciels

Les éditeurs multiplient les audits de licences, une manière pour eux de récupérer du chiffre d’affaires. La complexité des modalités contractuelles, combinée à un maquis tarifaire savamment entretenu par les éditeurs, fait que, pour un DSI, se retrouver dans une situation de non-conformité est, hélas, très facile. Plusieurs stratégies permettent de limiter les risques : la mise en conformité, l’attentisme, la négociation ou le conflit, chacune ayant ses avantages et ses inconvénients.

1. Les enjeux

Historiquement, des éditeurs, tels que Microsoft, ont été à l’origine des grandes actions contre le piratage, à une époque où les logiciels étaient très chers, en particulier pour la bureautique, et leurs équivalents en Open Source inexistants. C’était la grande époque de la puissante BSA (Business Software Alliance), dans les années 1990, qui continue d’ailleurs à publier des chiffres sur la proportion de logiciels utilisés sans paiement des licences associées (36 % en moyenne). À mesure que les entreprises se sont largement équipées en applicatifs de plus en plus coûteux, on le voit avec les ERP, les enjeux de la conformité, pour les éditeurs, ont changé de dimension.

La complexité des modalités contractuelles, combinée à un maquis tarifaire savamment entretenu par les éditeurs, fait que, pour un DSI, se retrouver dans une situation de non-conformité est hélas très facile. Seulement une entreprise sur cinq échappe aux audits menés par les éditeurs de logiciels, d’après une étude de 1E auprès d’entreprises britanniques et américaines de plus de 500 salariés. Les entreprises industrielles (en moyenne six audits par an) sont davantage concernées que le secteur public (deux audits).

On peut ainsi identifier plusieurs risques : d’abord, un risque financier qui se traduit par des régularisations auprès des éditeurs. Selon une étude d’IDC, près de six entreprises sur dix ont payé plus de 100 000 dollars en régularisation et, dans une entreprise sur cinq, la facture exigée par les éditeurs a dépassé le million de dollars.

Ensuite, des risques juridiques, avec de possibles condamnations pour contrefaçon qui, même si elles sont rares, conduisent à l’interdiction d’utiliser le logiciel, assorties, éventuellement, de pénalités financières. Enfin, des risques d’image, à la fois pour le DSI (qui risque son poste) et pour l’entreprise, avec une médiatisation non contrôlée, surtout si les logiciels utilisés sans licences présentent des failles de sécurité qui causent des préjudices à des tiers (clients, partenaires, sous-traitants…). Cerner le problème de la conformité logicielle s’avère compliqué, au moins pour trois raisons.

La première tient au fait que les périmètres métiers sont susceptibles d’évoluer par rapport aux droits concédés par les licences. La deuxième concerne la complexité des métriques retenues par les éditeurs pour mesurer l’usage des licences, les définitions des indicateurs manquent très souvent de cohérence et de clarté. On parle ainsi d’indicateurs relatifs aux utilisateurs nommés, au nombre de serveurs (de production, de tests, de recette…), d’utilisateurs concurrents, simultanés, connectés, de postes de travail ou de capacités de processeurs.

La troisième raison tient à la politique commerciale des éditeurs, dont certains proposent des licences de type Open Bar, pour lesquelles les utilisateurs peuvent télécharger les logiciels à leur convenance… Mais l’éditeur n’oubliera jamais d’envoyer la facture, alors que les DSI n’ont pas la vision réelle de qui a consommé quoi !

2. Comment faire ?

Analyser les contrats. Il s’agit de vérifier et, surtout, de préciser dans le contrat les définitions de base, notamment les types de solutions, les modules et les versions, les types d’utilisateurs, les entités concernées par le contrat de licences et les possibilités d’adapter le logiciel.

Négocier la clause d’audit. Elle figure généralement dans les contrats (si ce n’est pas le cas, l’éditeur n’a pas le droit d’auditer). La clause doit préciser, en particulier, les modalités géographiques et temporelles de l’application de l’audit, ainsi que son application, par exemple le recours à un outil de mesure des licences utilisées, la nature de l’information collectée, la qualité des auditeurs, l’information préalable, les délais…

S’équiper d’une solution de Software Asset Management (SAM). Il se définit comme un ensemble de compétences – processus, organisation – outils ayant pour but de gérer, contrôler et protéger les actifs logiciels de l’entreprise et ce pendant tout le cycle de vie du logiciel (Cigref). Dans le référentiel Itil, le SAM englobe toutes les infrastructures et processus nécessaires pour piloter, contrôler et protéger efficacement les logiciels dans une organisation à tous les stades de leur cycle de vie. S’équiper d’un outil de SAM permet de démontrer sa bonne foi face à un audit, en jouant la carte de la transparence.

Collaborer avec la direction juridique et celle des achats. Le DSI seul n’a pas toujours le recul nécessaire sur les aspects non techniques de la relation fournisseur, en particulier pour les aspects contractuels et les procédures d’achats. Sur le plan juridique, il existe un formalisme que seuls les professionnels du droit maîtrisent. Une collaboration avec les autres entités de l’entreprise permet également d’instaurer une couche de gouvernance qui ne peut qu’être bénéfique face à des éditeurs déterminés.

Évaluer la capacité de nuisance d’un éditeur. Certains éditeurs ne pratiquent pas les audits à un rythme soutenu. En revanche, certains en ont fait une composante de leurs business modèles et sont très agressifs sur la conformité. Il est préférable d’anticiper les comportements. « La perception du risque réel d’audit peut varier selon les différents éditeurs et parfois le risque est sous-estimé, par exemple pour des éditeurs tels que Adobe, AutodeskMcAfee ou Attachmate », précise Thierry Borgel, directeur de projet chez SIA Partners.

Cartographier les risques. Cela permet de prioriser les actions à entreprendre. En effet, on ne peut placer sur le même plan une non-conformité d’un ERP, sur lequel repose toutes les fonctions d’entreprise, et une non-conformité sur quelques licences d’un logiciel de PAO, utilisé au marketing ou à la direction de la communication. La cartographie des risques aboutit à une évaluation financière, base pour le calcul du retour sur investissement d’une stratégie de Software Asset Management. Une conformité à 100 % étant quasiment impossible à atteindre, il est préférable de se concentrer sur les dix ou vingt plus gros éditeurs, avec les bases installées les plus importantes.

Identifier les logiciels non utilisés ou sous-utilisés. Selon une étude, menée par 1E en 2014, environ un logiciel sur trois ne serait pas utilisé. Pour certaines solutions, le taux dépasse les 40 % (par exemple Visual Studio), voire les 50 % (Crystal Reports). On perçoit l’enjeu financier qui se cache derrière cette sous-utilisation, notamment lors des renouvellements.

Optimiser le processus d’acquisition des licences. Au-delà de la négociation contractuelle ou des apports d’une solution de Software Asset Management, c’est le processus d’acquisition des logiciels qu’il convient de transformer. C’est souvent là que se trouvent des failles ou des dysfonctionnements, par exemple lorsque trop d’autonomie est laissée aux entités métiers pour s’équiper. Cela aboutit à une hétérogénéité du parc, à des redondances (plusieurs logiciels pour adresser un même besoin), à une prolifération de versions différentes et à des budgets qui ne sont pas optimisés (lire pages 2 et 3).

3. Les points d’attention

La menace, bien réelle, que font peser les éditeurs sur leurs clients suggère de prendre en compte plusieurs points d’attention :

Anticiper le comportement des éditeurs. Les éditeurs ne publient évidemment pas d’indicateurs financiers sur le chiffre d’affaires généré pas leurs audits de conformité. Et ils nient que ces audits font partie intégrante de leurs stratégies commerciales. « Environ un quart du chiffre d’affaires des éditeurs est lié aux audits de conformité, sans cela, leurs revenus ne seraient pas en croissance. C’est un des leviers de communication vers leurs actionnaires et cela explique en partie leur agressivité », note Thierry Borgel, directeur de projet chez SIA Partners. Il faut notamment se méfier des éditeurs qui profitent des renouvellements de contrats ou des fins de trimestre fiscal, source de pression pour générer des revenus supplémentaires.

Communiquer vers les métiers et les utilisateurs. L’un des pièges souvent tendu par les éditeurs, qui mettent en avant la facilité d’utiliser leurs solutions, est le principe des licences Open Bar, qui permet aux utilisateurs et aux développeurs de télécharger des logiciels, le plus souvent à des fins de tests. Cette facilité n’est qu’apparente car elle conduit à installer des logiciels, donc à acquérir les licences associées, alors que les produits ne sont, par la suite, pas ou peu utilisés. La sensibilisation des utilisateurs et des développeurs s’impose pour leur faire comprendre les enjeux financiers et les risques associés.

Surveiller les changements de politiques de licences. Les éditeurs, dans leur volonté de privilégier les modes de commercialisation en SaaS, utilisent les audits pour inciter leurs clients à migrer. Par exemple, Adobe a introduit Creative Cloud à la place de Creative Suite, proposant un modèle de souscription, Microsoft pousse Office 365, Autodesk a annoncé son offre Desktop Subscription qui se traduira par la fin des ventes de licences perpétuelles début 2016. « Plutôt que de faciliter la gestion et le respect de la conformité, les éditeurs durcissent leur approche et les pénalités de non-conformité », assure Thierry Borgel.

Harmoniser le discours de l’entreprise face aux éditeurs. À l’image des éléments de langage utilisés par les professionnels de la politique, il faut éviter des prises de position dissonantes dans l’entreprise, sources de conflits entre, par exemple, un DSI qui ne veut pas négocier et des directions métiers prêtes à lâcher du lest.

Définir en amont la stratégie et la posture à adopter en cas d’audit. Plusieurs attitudes peuvent être adoptées lors d’un audit demandé par un éditeur : l’attentisme, la négociation, le conflit ou la mise en conformité. Chaque stratégie présente ses avantages et ses inconvénients.

Considérer le Software Asset Management comme un vrai projet en quatre étapes
Étape 1 Répertorier les logiciels Inventaire des logiciels pour connaître la situation exacte des logiciels au sein de l’organisation
Étape 2 Contrôler les logiciels et les licences Comparaison des logiciels installés aux licences existantes
Étape 3 Définir la politique et les procédures Mise en place d’une politique claire et des procédures de qualité pour régir l’usage des logiciels et l’acquisition des licences
Étape 4 Élaborer un plan de gestion des licences Élaboration d’un plan d’actions pour l’avenir et préparation d’un nouvel inventaire
Source : Best Practices Spotlight, n° 2.

 

Les quatre stratégies possibles face aux audits de conformité
Stratégie envisageable Tactique associée Principe Avantage Inconvénient
La mise en conformité La soumission
  • Accepter de payer pour toutes les licences installées
  • Gain de temps, il suffit de faire le chЏque
  • Pour les entreprises de mauvaise foi, c’est un moyen de revenir à une situation  » normale « 
  • Très coûteux
  • Pas de transparence sur les critères de l’éditeur
  • Tant que l’éditeur gagne, il jouera la carte de l’audit
  • Crée un rapport de forces irréversible en faveur de l’éditeur
L’attentisme L’inaction
  • Gagner le plus de temps possible
  • Peut être pertinent en cas d’anticipation de changement de fournisseur
  • Peut permettre de réduire la facture si l’éditeur est pressé de récupérer son chiffre d’affaires
  • Oblige l’éditeur à affiner ses preuves e tà documenter l’historique des achats de licences
  • Plutôt risqué car l’issue est incertaine
  • Démontre une volonté de ne pas collaborer avec l’éditeur
La négociation La discussion contradictoire
  • Réduire la facture à payer
  • Permet de réduire la facture, voire de l’annuler
  • Processus très long
  • Ressources significatives à mobiliser
Le conflit L’affrontement
  • Instaurer un rapport de force
  • Peut être pertinent en cas d’anticipation de changement de fournisseur
  • Adapté face aux fournisseurs très agressifs
  • Coûteux, surtout si un procès a lieu
  • Necessite un accompagnement juridique
  • L’issue peut être incertaine
Source : Digitalonomics.

 

Il vaut mieux travailler avec EMC, Citrix et Salesforce qu’avec Oracle, Adobe et IBM…
Éditeur Il n’est pas facile de travailler avec cet éditeur (% de oui) Les règles de licences ne sont pas compréhensibles (% de oui) Nous subissons des audits de la part de cet éditeur (% de oui)
Oracle 43 % 31 % 35 %
Adobe 37 % 30 % 23 %
IBM 32 % 24 % 25 %
Microsoft 32 % 25 % 28 %
SAP 30 % 21 % 31 %
CA 19 % 17 % 11 %
HP 15 % 12 % 7 %
VMware 14 % 7 % 12 %
Symantec 13 % 17 % 9 %
Citrix 13 % 13 % 7 %
Salesforce 12 % 10 % 9 %
EMC 8 % 123 % 13 %
Source : The 2015 customer choice awardsК: entreprises rate their software vendors, IDC, Flexera Software.

 


Les douze avantages du Software Asset Management

  • Améliorer la productivité et recentrer les équipes IT et achats sur leurs cœurs d’activité
  • Améliorer le pilotage de la relation fournisseur
  • Assurer une veille marché adaptée à son organisation
  • Favoriser une montée en compétences généralisée
  • Avoir une visibilité totale de son parc
  • Disposer d’une prédictibilité des coûts et gérer les risques logiciels
  • Disposer de puissants leviers de négociation pour les licences et les coûts de maintenance
  • Disposer de leviers d’optimisation technique
  • Permettre une allocation optimale et dynamique des logiciels
  • Disposer de leviers d’optimisation contractuelle
  • Limiter le risque et les conséquences des audits
  • Améliorer significativement la gestion administrative et participer à la gouvernance du SI

Source : Cigref.