Audits de licences logicielles : les recommandations 2022 du Cigref

Le Cigref a mis à jour sa charte de bonnes pratiques pour l’audit de licences logicielles. Qu’en ressort-il par rapport à la dernière version, qui datait de 2015 ?

L’audit de licences logicielles, une pratique en désuétude ? On pourrait l’imaginer avec l’avènement du cloud. Mais celui-ci peut, au contraire, motiver la procédure. Et les non-conformités identifiées, constituer un levier pour inciter les clients à faire la migration.

On doit ce constat au Club Achats du Cigref. Il en rend compte dans la nouvelle version de sa « charte des bonnes pratiques » pour l’audit de licences logicielles.

La mouture initiale de cette charte remonte à une dizaine d’années. Une bonne partie des recommandations qui y figuraient sont toujours en vigueur. Aussi bien en matière d’exécution que de cadrage préalable.

Une première mise à jour, intervenue en 2015, avait apporté de la structure au document. Avec six grands aspects :

– Prévention des risques
– Bonne foi
– Limitation des perturbations
– Périmètre et modalités de l’audit
– Recours à des tiers auditeurs
– Conclusion de l’audit

Cette segmentation reste d’actualité. Tout comme la majeure partie du contenu de la charte. À commencer par les propos introductifs. Il y est toujours question, concernant les contrats, de problèmes de lisibilité (clauses sujettes à interprétation). Mais aussi de prévisibilité (évolutions unilatérales). Et du risque que les éditeurs s’accordent un « droit d’audit permanent ».

Outils d’audit : prière d’ouvrir le code

Demeurent également les inquiétudes quant à la transparence et à la sécurité des outils de mesure. Deux éléments changent toutefois sur ce point. D’une part, l’ajout d’une référence au RGPD… et le regret d’une potentielle mise à défaut des clients au regard de cette réglementation. De l’autre, une recommandation sur la mise en œuvre desdits outils :

Une entreprise qui accepte de recourir au script de son éditeur de logiciel doit […] avoir accès au code du script qu’elle déploie.

Il y a aussi du nouveau sur le recours à des tiers :

L’éditeur recourant à un auditeur tiers ne pourra faire peser le coût de la mission d’audit sur son client.

Fait également son apparition, le rappel que voici :

La migration dans le cloud ne protège pas entièrement les clients des audits puisqu’il convient de vérifier la conformité de l’utilisation avec les usages prévus au contrat.

Parmi les recommandations déjà établies en 2015, on aura noté :

– Privilégier l’approche d’autocertification (audits déclaratifs). Ce pour éviter l’usage, par l’éditeur, d’exécutables sur lesquels le client n’a pas le contrôle.

– S’assurer que les contrats permettent une gestion flexible du parc de licences par le client. Notamment en autorisant la réattribution sans surcoût au sein d’un groupe.

– Envisager, dans ces mêmes contrats, les conséquences d’une virtualisation du parc et/ou le recours au cloud

Une recommandation a disparu avec la mise à jour de la charte. Elle porte sur ce que le Cigref appelle les « effets contaminants ». Par exemple, les clauses d’audit qui s’appliquent à l’ensemble du parc alors que le contrat sous-jacent n’en englobe qu’une partie. Ou celles qui en remplacent d’autres lors de l’acquisition de nouvelles licences.

Lire aussi : Covid-19 : le Cigref appelle à réduire la charge de patchs logiciels