L’audit de licences logicielles, une pratique en désuétude ? On pourrait l’imaginer avec l’avènement du cloud. Mais celui-ci peut, au contraire, motiver la procédure. Et les non-conformités identifiées, constituer un levier pour inciter les clients à faire la migration.
On doit ce constat au Club Achats du Cigref. Il en rend compte dans la nouvelle version de sa « charte des bonnes pratiques » pour l’audit de licences logicielles.
La mouture initiale de cette charte remonte à une dizaine d’années. Une bonne partie des recommandations qui y figuraient sont toujours en vigueur. Aussi bien en matière d’exécution que de cadrage préalable.
Une première mise à jour, intervenue en 2015, avait apporté de la structure au document. Avec six grands aspects :
– Prévention des risques
– Bonne foi
– Limitation des perturbations
– Périmètre et modalités de l’audit
– Recours à des tiers auditeurs
– Conclusion de l’audit
Cette segmentation reste d’actualité. Tout comme la majeure partie du contenu de la charte. À commencer par les propos introductifs. Il y est toujours question, concernant les contrats, de problèmes de lisibilité (clauses sujettes à interprétation). Mais aussi de prévisibilité (évolutions unilatérales). Et du risque que les éditeurs s’accordent un « droit d’audit permanent ».
Demeurent également les inquiétudes quant à la transparence et à la sécurité des outils de mesure. Deux éléments changent toutefois sur ce point. D’une part, l’ajout d’une référence au RGPD… et le regret d’une potentielle mise à défaut des clients au regard de cette réglementation. De l’autre, une recommandation sur la mise en œuvre desdits outils :
Une entreprise qui accepte de recourir au script de son éditeur de logiciel doit […] avoir accès au code du script qu’elle déploie.
Il y a aussi du nouveau sur le recours à des tiers :
L’éditeur recourant à un auditeur tiers ne pourra faire peser le coût de la mission d’audit sur son client.
Fait également son apparition, le rappel que voici :
La migration dans le cloud ne protège pas entièrement les clients des audits puisqu’il convient de vérifier la conformité de l’utilisation avec les usages prévus au contrat.
Parmi les recommandations déjà établies en 2015, on aura noté :
– Privilégier l’approche d’autocertification (audits déclaratifs). Ce pour éviter l’usage, par l’éditeur, d’exécutables sur lesquels le client n’a pas le contrôle.
– S’assurer que les contrats permettent une gestion flexible du parc de licences par le client. Notamment en autorisant la réattribution sans surcoût au sein d’un groupe.
– Envisager, dans ces mêmes contrats, les conséquences d’une virtualisation du parc et/ou le recours au cloud
Une recommandation a disparu avec la mise à jour de la charte. Elle porte sur ce que le Cigref appelle les « effets contaminants ». Par exemple, les clauses d’audit qui s’appliquent à l’ensemble du parc alors que le contrat sous-jacent n’en englobe qu’une partie. Ou celles qui en remplacent d’autres lors de l’acquisition de nouvelles licences.
Photo d’illustration © Ralf Geithe – Adobe Stock
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.