Audits de licences Oracle : le piège des options payantes

Une société de juristes pointe un des leviers classiques actionné par les audits de licences Oracle pour réclamer des pénalités importantes : les options activées par erreur. Globalement, les relations entre les grands éditeurs et les DSI se sont tendues ces derniers mois.

Les pratiques d’Oracle en matière de licensing créent de nouveaux remous. Après un article au vitriol publié en septembre par Business Insider, article qui pointait notamment la propension de l’éditeur à menacer ses clients de redressements importants suite à des audits sauf s’ils acceptaient de lui acheter des services Cloud, un billet de blog d’une société d’avocats, Scott & Scott LLP, confirme les pratiques ‘borderline’ de LMS (License Management Services), le département d’Oracle chargé des audits de licences.

L’auteur de ce billet, Christopher Barnett, pointe notamment une des tactiques préférées de LMS : « Surprendre les clients avec des frais de licences associées à des options des produits que l’entreprise n’a jamais employées. » En effet, de nombreux produits Oracle, comme la base de données, sont déployés depuis des fichiers d’installation qui incluent un copieux catalogue d’options payantes. « Parfois, ces options sont activées par inadvertance pendant le processus d’installation ou à un autre moment puis désactivées ensuite sans avoir jamais servi », raconte le juriste. Mais ces erreurs de manipulation suffisent à LMS, raconte-t-il. Parmi les éléments réclamés lors des audits, LMS demande en effet à accéder aux logs d’utilisation des logiciels maison, logs qui vont garder une trace de ces erreurs de manipulation. « Si LMS détermine que ces options ont été activées à un moment – même une seule fois, sept ans ou plus avant la collecte des données de l’audit -, il est courant de retrouver l’activation de ces options parmi les conclusions de l’audit », écrit Christopher Barnett. Autrement dit, LMS cherche à faire grossir le total des redressements, pour laisser plus de marge à la négociation commerciale derrière, les pénalités des audits se transformant généralement en nouveaux projets lancés sous pression.

Intégrer le risque d’audit dans le TCO

D’où les conseils de Scott & Scott LLP aux DSI. Le premier est radical : Christopher Barnett préconise aux entreprises envisageant un investissement dans les technologies Oracle d’intégrer les risques de coûts associés aux audits dans les calculs de TCO (coût de revient). Une mesure qui a de bonnes chances de plomber les propositions commerciales de l’éditeur américain face à ses concurrents (même si certains d’entre eux manient aussi l’audit avec virtuosité). Par ailleurs, le juriste recommande de documenter quels produits sont installés sur quels systèmes, et de toujours évaluer, en amont, les implications de ces déploiements. Christopher Barnett rappelle par exemple qu’Oracle considère que VMware (depuis vSphere 5.1) ne fournit pas une méthode de partitionnement adéquate : l’éditeur de Redwood Shores demande donc à ses clients d’acheter des licences pour l’ensemble du cluster, même si ses technologies ne sont déployées que sur un nœud (lire notre article à ce sujet). Enfin, le cabinet d’avocats, notamment spécialisé dans les litiges autour du licensing, conseille aux DSI de répartir le « fardeau » de la non-conformité entre l’entreprise cliente et le partenaire Oracle chargé de l’implémentation. Une bonne manière de s’assurer du zèle de ce dernier en matière de conformité des déploiements.

SAP et les accès indirects

Même si son nom est souvent cité, Oracle n’est pas – loin s’en faut – le seul éditeur de logiciels à pratiquer des audits agressifs, visant à pousser ses clients à acheter de nouvelles licences. Récemment, SAP s’est retrouvé sous le feu des critiques de ses utilisateurs autour de la problématique des accès dits indirects, autrement dit la sollicitation des systèmes de l’éditeur allemand par des logiciels tiers, souvent révélée à l’occasion d’audits. Les utilisateurs VMware semblent également se plaindre du durcissement des conditions commerciales du numéro un de la virtualisation. Voyages-SNCF a récemment laissé entendre dans nos colonnes qu’il allait délaisser les technologies de l’Américain pour passer sur le couple Open Source OpenStack + KVM. Outre Atlantique, Apple s’est engagé dans une voie identique.

A lire aussi :

Marc Genevois, SAP : « notre croissance ne vient pas des audits de licences ! »
Audits de licences : pas plus nombreux, mais plus agressifs (tribune)

crédit photo : stockphoto-graf / shutterstock