Outre la mise en conformité contractuelle, la gestion des actifs logiciels est essentielle pour pouvoir contrôler et rationaliser les coûts associés, en particulier les coûts de licence.
La gestion des actifs logiciels (en anglais, Software Asset Management SAM) est partie intégrante d’Itil V2, le référentiel de bonnes pratiques développé par l’OGC britannique (Office of Government Commerce).
Dans la V3 du référentiel, ce processus a été fusionné avec la gestion des configurations pour devenir le processus Service Asset and Configuration Management. Il existe également une norme ISO sur le sujet, la norme ISO 19700-1 qui définit le SAM comme « la gestion effective, le contrôle et la protection des actifs logiciels d’une organisation ».
Pour compléter cette définition, il convient de préciser ce que la gestion des actifs logiciels est et ce qu’elle n’est pas. La gestion des actifs logiciels est un sous-ensemble de la gestion des actifs informatiques, cette dernière incluant logiciels comme infrastructures. Le SAM possède quelques spécificités qui en font un processus à part, comme la gestion de la conformité des licences ou les enjeux de versions.
Il s’agit d’un processus très outillé : de nombreuses solutions existent sur le marché pour couvrir les grandes fonctionnalités du SAM (voir tableau page 6). La gestion des actifs logiciels ne s’identifie pas à la cartographie des applications, ce rôle étant dévolu à des outils de modélisation spécifiques. Le SAM est également distinct de la gestion des configurations, même si ITIL V3 réunit les deux problématiques dans un même processus.
En effet, la gestion des configurations considère les logiciels en tant que briques nécessaires pour fournir un service, tandis que le SAM considère les logiciels sous un angle comptable et légal. Enfin, si les solutions de SAM permettent de contrôler les logiciels déployés, elles ne sont pas assimilables pour autant à des solutions de sécurité.
Les campagnes de communication des éditeurs de logiciels, en particulier ceux membres de la Business Software Alliance (BSA) ont mis en avant le SAM comme une solution au piratage de logiciels, un argument certes recevable, mais qui a un peu laissé dans l’ombre les autres intérêts de l’approche.
La gestion des actifs logiciels présente en effet d’autres bénéfices pour une entreprise que celui d’être un simple garde-fou pour parer aux risques judiciaires. Une vision à jour des logiciels en place est essentielle pour pouvoir contrôler et rationaliser les coûts associés, en particulier les coûts de licence.
Le SAM contribue également à maintenir l’homogénéité et la cohérence du système d’information, un aspect important tant pour la sécurité que pour le déploiement de nouvelles applications. La visibilité offerte par le SAM permet de savoir immédiatement si le parc installé est conforme aux prérequis techniques et architecturaux des projets.
1. Établir un inventaire lisible des applications
La première étape pour gérer les logiciels déployés dans une organisation est d’établir un inventaire précis par poste de travail. Il est important de pouvoir identifier facilement de quels logiciels il s’agit. Or, les informations techniques remontées par les outils d’inventaire ne permettent pas toujours de reconnaître les logiciels en question.
En se basant uniquement sur ces données, un même logiciel avec deux numéros de mise à jour différents peut parfois être comptabilisé comme deux logiciels différents. Pour obtenir une information fiable, utilisable dans une optique de gestion d’actifs, il faut donc croiser les données de l’inventaire avec un dictionnaire identifiant les logiciels de manière claire.
Le nom, l’éditeur et le numéro de version font partie des informations minimales requises pour assurer ensuite le suivi des licences. Dans certains cas, il peut également être utile de remonter des informations sur les applications Open Source et les développements maison, deux aspects pas toujours pris en compte dans les solutions disponibles sur le marché. La possibilité d’enrichir manuellement le dictionnaire des solutions est alors un plus. Enfin, il peut être utile d’inventorier le cas échéant les applicatifs présents sur les terminaux mobiles.
2. Maintenir l’inventaire à jour
Un inventaire de logiciels nécessite une mise à jour très régulière, voire en temps réel. Cela d’autant plus que l’entreprise laisse de la liberté à ses salariés sur leurs postes de travail. Il faut, en particulier, se préoccuper des ordinateurs portables.
De même, il convient d’inclure dans l’inventaire toute nouvelle machine déployée. Idéalement, des agents installés sur les postes peuvent être utilisés pour détecter en temps réel l’installation de logiciels, afin d’intégrer immédiatement cette information au référentiel de SAM.
3. Analyser les liens entre services métiers et logiciels
Dans l’approche ITIL, il est important d’identifier les relations existant entre les différents éléments du système d’information, en particulier les relations de dépendance. Certains logiciels peuvent être nécessaires pour pouvoir exécuter correctement un service métier, notamment ceux qui permettent de visualiser du contenu.
Le rôle des solutions de SAM proprement dites n’est pas d’identifier ces liens, mais elles doivent pouvoir s’interfacer avec les solutions de gestion des configurations, des analyses croisées étant nécessaires.
4. Vérifier l’adéquation entre les licences possédées et les logiciels installés
Les problèmes liés aux logiciels installés sans licence valide concernent essentiellement quelques familles de logiciels très courants. En la matière, prêcher la bonne parole ne suffit pas toujours à prévenir les usages illégaux. Les solutions de SAM facilitent à la fois l’identification des logiciels en infraction et la rectification des problèmes.
Elles peuvent fournir des rapports indiquant le taux de conformité par éditeur, ce qui permet d’affiner l’analyse des risques.
5. Traquer les licences mal utilisées
La gestion des actifs logiciels ne se limite pas à faire la police. Pour une entreprise, il est tout aussi utile de pouvoir mesurer l’usage réel des logiciels installés. En effet, il peut arriver que des logiciels ne soient jamais utilisés sur certains postes, alors que l’entreprise a acquis une licence pour ces derniers.
Une fois identifiée, la licence en question peut être réallouée à un poste où le logiciel sera utilisé. Des métriques précises sur l’utilisation réelle des logiciels sont également un instrument pertinent pour ajuster et négocier les contrats avec les éditeurs.
Un point à savoir : la façon dont est mesurée l’usage d’un logiciel varie selon les solutions, certaines mesurant l’activité de l’utilisateur tandis que d’autres se basent sur les processus actifs du système d’exploitation.
6. Mettre en place des règles claires
Comme le mentionne la définition de l’ISO, le SAM implique un contrôle des logiciels déployés. Ce contrôle sur les logiciels passe par l’établissement de règles destinées à garantir la cohérence des configurations logicielles sur l’ensemble du parc. Il s’agit avant tout d’établir des listes de logiciels autorisés et de logiciels interdits.
Des agents installés sur les postes utilisent ensuite ces règles pour jouer le rôle de physionomistes, capables d’autoriser ou de bloquer l’installation d’un logiciel. Le rôle de ces ensembles de règles peut aller plus loin. Il est possible de définir des configurations types et de détecter ensuite tout écart à ces configurations pour y remédier, en mettant par exemple un logiciel à jour où en comblant l’absence d’un composant.
7. Gérer les licences de manière industrialisée
Qui dit gestion des licences dit allocation et renouvellement. Ces tâches n’interviennent pas de manière continue mais sont échelonnées dans le temps. Il est néanmoins utile de les envisager dans le cadre de processus plus globaux qui nécessitent une approche industrialisée.
L’allocation et la réallocation de licences sont liés à des événements ponctuels, comme l’arrivée ou le départ de collaborateurs. Il est important d’avoir une visibilité sur les utilisateurs et les changements intervenant parmi ceux-ci afin d’industrialiser l’allocation des licences. Idéalement, celle-ci doit s’inscrire dans un véritable processus d’équipement et de mise à disposition des applications.
Le renouvellement intervient quant à lui à échéances fixes. Il est important d’anticiper ces échéances afin de pouvoir provisionner le budget adéquat. Pour cela, les outils de SAM s’intègrent généralement avec des solutions de gestion des contrats.
8. Rationaliser les coûts liés aux logiciels
La gestion des actifs logiciels a une dimension financière et contractuelle. Le SAM permet d’avoir une vision précise des coûts liés aux licences. Il est pertinent de pouvoir compléter cette vision par des informations sur les autres types de coût, en premier lieu le support et la maintenance.
Pour cela, il peut être nécessaire d’intégrer les solutions de SAM avec d’autres types de solutions, en particulier les applications de gestion des contrats et les applications de service-desk. Sur ces aspects de coût, le reporting est indispensable. Des rapports indiquant la répartition des dépenses par éditeur permettent d’identifier rapidement les fournisseurs importants.
9. S’assurer que les logiciels sont à jour
Les logiciels sont l’un des points faibles du système d’information. Les failles de sécurité sont fréquentes dans les applications. Il est utile de pouvoir ausculter à tout moment son parc de logiciels pour vérifier qu’ils sont à jour et qu’il ne subsiste pas des logiciels présentant des failles majeures.
Le SAM offre un premier niveau de sécurité grâce à la visibilité sur les applications. Des solutions d’audit permettent de pousser ces analyses plus loin en croisant les données avec des bases d’information sur les failles et les correctifs disponibles.
10. Automatiser au maximum
La plupart des actions détaillées précédemment s’appuient sur des tâches récurrentes, qui peuvent vite devenir fastidieuses. Nombre des ces tâches peuvent être automatisées, en particulier par l’intégration avec des outils de télédistribution, ce qui permet d’économiser le temps des équipes d’administration et d’utiliser leur savoir-faire de manière plus utile pour l’entreprise.
| Le modèle de maturité de la gestion des actifs logiciels | ||||
| Domaine d’expertise | Basique | Standardisé | Rationalisé | Dynamique |
| Gestion du parc logiciel dans l’ensemble de l’organisation | Les rôles et les responsabilités ne sont pas définies et aucun logiciel de suivi n’est implémenté dans l’organisation. | Un responsable de la gestion des actifs matériels est identifié pour chaque entité de l’entreprise. | Les procédures d’inventaire sont documentées et validées par le management ; elles concernent toutes les entités de l’entreprise. | La DG considère que la gestion des actifs logiciels est une priorité. Toutes les entités de l’entreprises ont les ressources et les procédures adaptées. |
| Plan d’amélioration | Aucun plan de développement ou de communication n’est établi, ni plan de communication, ni budget. | Un processus d’amélioration continue existe, avec un périmètre, un planning et un budget. | Un processus d’amélioration continue existe, avec un périmètre, un planning et un budget et des ressources. | Le processus d’amélioration continue sont conçus pour s’adapter aux changements de l’environnement. |
| étendue de l’inventaire | Aucun inventaire n’est centralisé et moins des deux tiers des actifs sont recensés. | Entre les deux tiers et 95 % des actifs logiciels sont recensés. | Entre 96 % et 99 % des actifs sont recensés. | Plus de 99 % des actifs sont recensés. |
| Exactitude de l’inventaire | L’inventaire manuel est rarement réalisé ou seulement de manière manuelle. | L’inventaire est réalisé une fois par an. | L’inventaire est réalisé une fois par trimestre. | L’inventaire est réalisé de manière continue. |
| Informations sur les droits de licences | Les opérations sont réalisées essentiellement en mode manuel. | Les informations concernent entre les deux tiers et 95 % des actifs logiciels | Il existe une procédure documentée de rapprochement de la base de données des droits avec les historiques des fournisseurs. | Les informations concernent plus de 99 % des actifs logiciels. |
| Évaluation périodique | Les opérations sont réalisées essentiellement en mode manuel. | Les opérations d’inventaire sont réalisées une fois par an. | Les rapports SAM sont entérinés tous les trimestres. | Les opérations d’inventaire sont réalisées de manière continue. |
| Interfaces avec l’exploitation | L’exploitation du système d’information ne prend pas en compte l’inventaire des logiciels et des matériels. | Les entités de l’entreprise gèrent chacune leurs inventaires logiciels. | Les services de gestion de la production gèrent des inventaires d’actifs centralisés. | Un inventaire de type CMDB (Configuration Management DataBase) est utilisé et est adapté à l’organisation. |
| Processus d’acquisition | La centralisation des achats ne concerne que moins des deux tiers des logiciels. | La centralisation des achats concerne entre les deux tiers et 95 % des logiciels. | Les logiciels ne sont achetés qu’après comparaison des déploiements et des droits d’utilisation. | Plus de 99 % des logiciels sont concernés. Tous les achats se font à partir d’un catalogue d’actifs prédéfinis. |
| Processus de déploiement | Les actifs sont déployés par les utilisateurs dans des environnements distribués. Aucun processus centralisé n’existe. | Le suivi du déploiement concerne entre les deux tiers et 95 % des logiciels. | Des rapports sur le déploiement des logiciels sont à la disposition des parties concernées. | Plus de 99 % des logiciels sont concernés. |
| Processus de mise au rebut | Aucune procédure n’existe pour les logiciels qui ne sont plus utilisés. | La mise au rebut des logiciels n’est pas surveillée de manière exhaustive mais concerne entre les deux tiers et 95 % des logiciels. | Les logiciels mis au rebut sont réutilisés. Entre 96 % et 99 % des logiciels sont concernés. | Plus de 99 % des logiciels sont concernés par la procédure de mise au rebut à l’aide d’un processus documenté concernant toute l’organisation. |
| Source : KPMG SAM Maturity Survey, 2008. | ||||