L’audit de licences logicielles, une pratique en désuétude ? On pourrait l’imaginer avec l’avènement du cloud. Mais celui-ci peut, au contraire, motiver la procédure. Et les non-conformités identifiées, constituer un levier pour inciter les clients à faire la migration.
On doit ce constat au Club Achats du Cigref. Il en rend compte dans la nouvelle version de sa « charte des bonnes pratiques » pour l’audit de licences logicielles.
La mouture initiale de cette charte remonte à une dizaine d’années. Une bonne partie des recommandations qui y figuraient sont toujours en vigueur. Aussi bien en matière d’exécution que de cadrage préalable.
Une première mise à jour, intervenue en 2015, avait apporté de la structure au document. Avec six grands aspects :
– Prévention des risques
– Bonne foi
– Limitation des perturbations
– Périmètre et modalités de l’audit
– Recours à des tiers auditeurs
– Conclusion de l’audit
Cette segmentation reste d’actualité. Tout comme la majeure partie du contenu de la charte. À commencer par les propos introductifs. Il y est toujours question, concernant les contrats, de problèmes de lisibilité (clauses sujettes à interprétation). Mais aussi de prévisibilité (évolutions unilatérales). Et du risque que les éditeurs s’accordent un « droit d’audit permanent ».
Demeurent également les inquiétudes quant à la transparence et à la sécurité des outils de mesure. Deux éléments changent toutefois sur ce point. D’une part, l’ajout d’une référence au RGPD… et le regret d’une potentielle mise à défaut des clients au regard de cette réglementation. De l’autre, une recommandation sur la mise en œuvre desdits outils :
Une entreprise qui accepte de recourir au script de son éditeur de logiciel doit […] avoir accès au code du script qu’elle déploie.
Il y a aussi du nouveau sur le recours à des tiers :
L’éditeur recourant à un auditeur tiers ne pourra faire peser le coût de la mission d’audit sur son client.
Fait également son apparition, le rappel que voici :
La migration dans le cloud ne protège pas entièrement les clients des audits puisqu’il convient de vérifier la conformité de l’utilisation avec les usages prévus au contrat.
Parmi les recommandations déjà établies en 2015, on aura noté :
– Privilégier l’approche d’autocertification (audits déclaratifs). Ce pour éviter l’usage, par l’éditeur, d’exécutables sur lesquels le client n’a pas le contrôle.
– S’assurer que les contrats permettent une gestion flexible du parc de licences par le client. Notamment en autorisant la réattribution sans surcoût au sein d’un groupe.
– Envisager, dans ces mêmes contrats, les conséquences d’une virtualisation du parc et/ou le recours au cloud
Une recommandation a disparu avec la mise à jour de la charte. Elle porte sur ce que le Cigref appelle les « effets contaminants ». Par exemple, les clauses d’audit qui s’appliquent à l’ensemble du parc alors que le contrat sous-jacent n’en englobe qu’une partie. Ou celles qui en remplacent d’autres lors de l’acquisition de nouvelles licences.
Photo d’illustration © Ralf Geithe – Adobe Stock
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…