Audits de licences logicielles : les recommandations 2022 du Cigref
Publié par Clément Bohic le - mis à jour à
Le Cigref a mis à jour sa charte de bonnes pratiques pour l'audit de licences logicielles. Qu'en ressort-il par rapport à la dernière version, qui datait de 2015 ?
L'audit de licences logicielles, une pratique en désuétude ? On pourrait l'imaginer avec l'avènement du cloud. Mais celui-ci peut, au contraire, motiver la procédure. Et les non-conformités identifiées, constituer un levier pour inciter les clients à faire la migration.
On doit ce constat au Club Achats du Cigref. Il en rend compte dans la nouvelle version de sa « charte des bonnes pratiques » pour l'audit de licences logicielles.
La mouture initiale de cette charte remonte à une dizaine d'années. Une bonne partie des recommandations qui y figuraient sont toujours en vigueur. Aussi bien en matière d'exécution que de cadrage préalable.
Une première mise à jour, intervenue en 2015, avait apporté de la structure au document. Avec six grands aspects :
- Prévention des risques
- Bonne foi
- Limitation des perturbations
- Périmètre et modalités de l'audit
- Recours à des tiers auditeurs
- Conclusion de l'audit
Cette segmentation reste d'actualité. Tout comme la majeure partie du contenu de la charte. À commencer par les propos introductifs. Il y est toujours question, concernant les contrats, de problèmes de lisibilité (clauses sujettes à interprétation). Mais aussi de prévisibilité (évolutions unilatérales). Et du risque que les éditeurs s'accordent un « droit d'audit permanent ».
Outils d'audit : prière d'ouvrir le code
Demeurent également les inquiétudes quant à la transparence et à la sécurité des outils de mesure. Deux éléments changent toutefois sur ce point. D'une part, l'ajout d'une référence au RGPD... et le regret d'une potentielle mise à défaut des clients au regard de cette réglementation. De l'autre, une recommandation sur la mise en oeuvre desdits outils :
Il y a aussi du nouveau sur le recours à des tiers :
Fait également son apparition, le rappel que voici :
Parmi les recommandations déjà établies en 2015, on aura noté :
- Privilégier l'approche d'autocertification (audits déclaratifs). Ce pour éviter l'usage, par l'éditeur, d'exécutables sur lesquels le client n'a pas le contrôle.
- S'assurer que les contrats permettent une gestion flexible du parc de licences par le client. Notamment en autorisant la réattribution sans surcoût au sein d'un groupe.
- Envisager, dans ces mêmes contrats, les conséquences d'une virtualisation du parc et/ou le recours au cloud
Une recommandation a disparu avec la mise à jour de la charte. Elle porte sur ce que le Cigref appelle les « effets contaminants ». Par exemple, les clauses d'audit qui s'appliquent à l'ensemble du parc alors que le contrat sous-jacent n'en englobe qu'une partie. Ou celles qui en remplacent d'autres lors de l'acquisition de nouvelles licences.
Photo d'illustration © Ralf Geithe - Adobe Stock