Pour gérer vos consentements :
Categories: Logiciels

Audits de licences logicielles : les recommandations 2022 du Cigref

L’audit de licences logicielles, une pratique en désuétude ? On pourrait l’imaginer avec l’avènement du cloud. Mais celui-ci peut, au contraire, motiver la procédure. Et les non-conformités identifiées, constituer un levier pour inciter les clients à faire la migration.

On doit ce constat au Club Achats du Cigref. Il en rend compte dans la nouvelle version de sa « charte des bonnes pratiques » pour l’audit de licences logicielles.

La mouture initiale de cette charte remonte à une dizaine d’années. Une bonne partie des recommandations qui y figuraient sont toujours en vigueur. Aussi bien en matière d’exécution que de cadrage préalable.

Une première mise à jour, intervenue en 2015, avait apporté de la structure au document. Avec six grands aspects :

– Prévention des risques
– Bonne foi
– Limitation des perturbations
– Périmètre et modalités de l’audit
– Recours à des tiers auditeurs
– Conclusion de l’audit

Cette segmentation reste d’actualité. Tout comme la majeure partie du contenu de la charte. À commencer par les propos introductifs. Il y est toujours question, concernant les contrats, de problèmes de lisibilité (clauses sujettes à interprétation). Mais aussi de prévisibilité (évolutions unilatérales). Et du risque que les éditeurs s’accordent un « droit d’audit permanent ».

Outils d’audit : prière d’ouvrir le code

Demeurent également les inquiétudes quant à la transparence et à la sécurité des outils de mesure. Deux éléments changent toutefois sur ce point. D’une part, l’ajout d’une référence au RGPD… et le regret d’une potentielle mise à défaut des clients au regard de cette réglementation. De l’autre, une recommandation sur la mise en œuvre desdits outils :

Une entreprise qui accepte de recourir au script de son éditeur de logiciel doit […] avoir accès au code du script qu’elle déploie.

Il y a aussi du nouveau sur le recours à des tiers :

L’éditeur recourant à un auditeur tiers ne pourra faire peser le coût de la mission d’audit sur son client.

Fait également son apparition, le rappel que voici :

La migration dans le cloud ne protège pas entièrement les clients des audits puisqu’il convient de vérifier la conformité de l’utilisation avec les usages prévus au contrat.

Parmi les recommandations déjà établies en 2015, on aura noté :

– Privilégier l’approche d’autocertification (audits déclaratifs). Ce pour éviter l’usage, par l’éditeur, d’exécutables sur lesquels le client n’a pas le contrôle.

– S’assurer que les contrats permettent une gestion flexible du parc de licences par le client. Notamment en autorisant la réattribution sans surcoût au sein d’un groupe.

– Envisager, dans ces mêmes contrats, les conséquences d’une virtualisation du parc et/ou le recours au cloud

Une recommandation a disparu avec la mise à jour de la charte. Elle porte sur ce que le Cigref appelle les « effets contaminants ». Par exemple, les clauses d’audit qui s’appliquent à l’ensemble du parc alors que le contrat sous-jacent n’en englobe qu’une partie. Ou celles qui en remplacent d’autres lors de l’acquisition de nouvelles licences.

Photo d’illustration © Ralf Geithe – Adobe Stock

Recent Posts

Logiciels : Broadcom convoite VMware, qui bondit de 20%

Le fabricant américain de semi-conducteurs Broadcom pourrait acquérir VMware, spécialiste de la virtualisation et des…

16 heures ago

Cybersécurité : Microsoft recrute encore pour renforcer ses produits

Microsoft a recruté Jason Roszak, chef de produit réputé, pour optimiser la gestion des serveurs…

16 heures ago

Antennes 5G : Deutsche Telekom explore l’éolien pour les alimenter

Utiliser l’énergie éolienne pour contenir la flambée des coûts de l’électricité en Allemagne, c'est le…

19 heures ago

Souveraineté numérique : le choix de Bruno « Bercy » Le Maire

La compétence "numérique" est étendue aux prérogatives de Bruno Le Maire, reconduit à la tête…

21 heures ago

Windows 11 : Microsoft se rapproche de la disponibilité d’Android 12.1

Microsoft a publié une mise à jour qui permet, pour les testeurs de Windows 11,…

23 heures ago

Ransomwares : que paient les PME en France ?

6 PME françaises sur 10 victimes d'une attaque de ransomware disent avoir payé jusqu'à 40…

4 jours ago