Recherche

Audits de licences logicielles : les recommandations 2022 du Cigref

Le Cigref a mis à jour sa charte de bonnes pratiques pour l'audit de licences logicielles. Qu'en ressort-il par rapport à la dernière version, qui datait de 2015 ?

Publié par Clément Bohic le - mis à jour à
Lecture
3 min
  • Imprimer
Audits de licences logicielles : les recommandations 2022 du Cigref

L'audit de licences logicielles, une pratique en désuétude ? On pourrait l'imaginer avec l'avènement du cloud. Mais celui-ci peut, au contraire, motiver la procédure. Et les non-conformités identifiées, constituer un levier pour inciter les clients à faire la migration.

On doit ce constat au Club Achats du Cigref. Il en rend compte dans la nouvelle version de sa « charte des bonnes pratiques » pour l'audit de licences logicielles.

La mouture initiale de cette charte remonte à une dizaine d'années. Une bonne partie des recommandations qui y figuraient sont toujours en vigueur. Aussi bien en matière d'exécution que de cadrage préalable.

Une première mise à jour, intervenue en 2015, avait apporté de la structure au document. Avec six grands aspects :

- Prévention des risques
- Bonne foi
- Limitation des perturbations
- Périmètre et modalités de l'audit
- Recours à des tiers auditeurs
- Conclusion de l'audit

Cette segmentation reste d'actualité. Tout comme la majeure partie du contenu de la charte. À commencer par les propos introductifs. Il y est toujours question, concernant les contrats, de problèmes de lisibilité (clauses sujettes à interprétation). Mais aussi de prévisibilité (évolutions unilatérales). Et du risque que les éditeurs s'accordent un « droit d'audit permanent ».

Outils d'audit : prière d'ouvrir le code

Demeurent également les inquiétudes quant à la transparence et à la sécurité des outils de mesure. Deux éléments changent toutefois sur ce point. D'une part, l'ajout d'une référence au RGPD... et le regret d'une potentielle mise à défaut des clients au regard de cette réglementation. De l'autre, une recommandation sur la mise en oeuvre desdits outils :

Il y a aussi du nouveau sur le recours à des tiers :

Fait également son apparition, le rappel que voici :

Parmi les recommandations déjà établies en 2015, on aura noté :

- Privilégier l'approche d'autocertification (audits déclaratifs). Ce pour éviter l'usage, par l'éditeur, d'exécutables sur lesquels le client n'a pas le contrôle.

- S'assurer que les contrats permettent une gestion flexible du parc de licences par le client. Notamment en autorisant la réattribution sans surcoût au sein d'un groupe.

- Envisager, dans ces mêmes contrats, les conséquences d'une virtualisation du parc et/ou le recours au cloud

Une recommandation a disparu avec la mise à jour de la charte. Elle porte sur ce que le Cigref appelle les « effets contaminants ». Par exemple, les clauses d'audit qui s'appliquent à l'ensemble du parc alors que le contrat sous-jacent n'en englobe qu'une partie. Ou celles qui en remplacent d'autres lors de l'acquisition de nouvelles licences.

Photo d'illustration © Ralf Geithe - Adobe Stock

Livres Blancs #cloud

Voir tous les livres blancs
S'abonner
au magazine
Se connecter
Retour haut de page