Pour gérer vos consentements :
Categories: Business

Audits de licences : les pratiques d’Oracle (encore) mises en question

Exploiter les outils d’Oracle pour vérifier la conformité d’un parc de licences ? C’est possible… à condition d’avoir une « forme d’engagement » avec l’éditeur. Plus précisément avec la division GLAS (Global Licensing and Advisory Services ; ex-LMS). Son responsable l’a expliqué la semaine passée, lors d’un webinaire de l’IBSMA (International Business Software Managers Association).

Ces outils ne sont pas disponibles publiquement, a insisté l’intéressé. On peut, en revanche, s’en servir indéfiniment une fois qu’on y a eu accès.

Dans l’absolu, Oracle a validé des outils tiers. Qui émanent notamment d’Aspera, Flexera, Micro Focus et ServiceNow. Mais cette validation n’a porté que sur des « données d’usage brutes ». Pas sur d’autres aspects indispensables pour garantir la conformité – dont le suivi des droits de licence.

Des outils tiers surtout utiles à Oracle ?

En résumé, ces outils tiers n’offrent pas d’assurance formelle pour les utilisateurs. Mais ils ne sont pas inutiles pour Oracle, qui s’appuie dessus pour accélérer ses audits. Le principal dirigeant de Palisade Compliance (spécialiste conformité logicielle Oracle) a en tout cas témoigné dans ce sens lors d’une autre session de webinaire. Son constat : lorsque les entreprises auditées fournissent à l’éditeur les rapports issus de ces outils, il leur en demande davantage… jusqu’à accéder à suffisamment d’éléments pour ne pas avoir à déployer ses propres scripts.

En toile de fond, une tendance à l’augmentation des audits « officiels » portant sur Java. Depuis avril 2019, les mises à jour sont payantes sur l’édition commerciale (Java SE). Sauf si on est sur Java 17, auquel cas on peut bénéficier gratuitement d’updates trimestriels pendant trois ans.

Un dirigeant l’affirme : son entreprise a commencé à recevoir des requêtes de l’équipe GLAS portant spécifiquement sur Java. Oracle, observe-t-il par ailleurs, exploite des informations récoltées lors d’autres audits. Exemple : vous déclarez 5000 licences de base de données, mais avez-vous les licences Java pour les CPU correspondants ? Une vérification qui peut s’avérer d’autant plus difficile que les unes sont sur un modèle perpétuel et les autres, sur abonnement.

Photo d’illustration via Shutterstock

Recent Posts

Bug Bounty : le Pentagone s’offre (encore) les services de hackers

Six ans après son premier bug bounty, le Département de la défense des Etats-Unis lance…

4 heures ago

Typosquatting de dépendances : gare à cette pratique résiduelle

Des chercheurs attirent l'attention sur une campagne de diffusion de code malveillant par l'intermédiaire de…

6 heures ago

Salaires IT : à qui profite le dégel des rémunérations ?

La part des cadres de la fonction informatique qui bénéficient d'une hausse de rémunération retrouve…

7 heures ago

Quels standards pour la cryptographie post-quantique ?

À l'issue d'une procédure de six ans, le NIST a sélectionné quatre algorithmes à standardiser…

8 heures ago

DMA, DSA : une régulation à la hauteur des « Big Tech » ?

Le Parlement européen a définitivement adopté le DMA et le DSA ce 5 juillet. Des…

13 heures ago

DevSecOps : Snyk plie mais ne rompt pas

Snyk rejoint la liste de licornes de la cybersécurité qui réduisent leurs effectifs pour affronter…

1 jour ago