mai 17, 2018

12 astuces de défense contre les audits indispensables à la gestion des actifs IT

Malgré le nombre croissant d'informations disponibles sur l'importance de la gestion des actifs logiciels, de nombreuses entreprises se laissent encore surprendre pas les audits de conformité logicielle.

Peut-être est-ce dû au fait que les audits de licences ne s’annoncent pas toujours clairement comme tels. Le point de départ est souvent un entretien amical entre un administrateur IT responsable d'une technologie spécifique et le représentant d'un éditeur de logiciels (bien souvent un expert chevronné en licence ou un auditeur tiers). Le client est invité à participer à un exercice de conformité basé sur le volontariat qui permet également d'identifier les écarts et les utilisations abusives.

12 Software Audit Defense Tips

Si votre éditeur de logiciels vous invite à participer à un audit, voici une petite liste de conseils qui vous aideront à vous protéger :

1. Ne pas ignorer l'invitation
Ne laissez jamais une invitation à participer à un audit sans réponse. Ce n'est pas parce que vous l'ignorez qu'elle n'existe pas et tôt ou tard l'éditeur vous recontactera. Accusez réception de l'invitation et commencez à vous préparer.

2. Informer un responsable et le service juridique
Dès réception d'une lettre de notification d'audit/de contrôle, prévenez immédiatement votre responsable et votre conseiller juridique. Précaution supplémentaire : demandez au personnel IT de vérifier toutes les informations avant de les envoyer à l'éditeur de logiciels. Veillez également à informer toutes vos filiales avant de vous engager dans un audit. Dans certains cas, vous aurez le plaisir de découvrir que vous êtes couvert par d'autres contrats ou que vous avez d'autres bonnes raisons de ne pas participer à cet audit. Attention, il arrive que les personnes concernées par un audit ne reçoivent pas la notification à temps. La lettre arrive parfois au bout de la chaîne et n'atteint le bureau de la direction ou du responsable SAM qu'après le début de l'audit. Discutez de ce problème avec vos équipes informatiques pour qu'elles sachent comment réagir le cas échéant.

3. Traiter l'audit comme un projet .
Allouez le temps et les ressources nécessaires à cet audit et désignez un chef de projet en interne. Certains éditeurs réclament des informations très précises et détaillées sur l'installation et la configuration, imposent des questionnaires à rallonge, fournissent des instructions de collecte des données avec des scripts et envoient de nombreux e-mails de suivi pour demander des détails supplémentaires.

4. Vérifier son propre niveau de conformité.
Prenez une longueur d'avance sur les auditeurs et effectuez votre propre contrôle de conformité en interne. Assurez-vous de vérifier toutes les données et réponses avant de les envoyer aux auditeurs.

5. Bloquer tous les achats de licences .
N'achetez plus de nouvelles licences, car les auditeurs risquent d'y voir une tentative de mise en conformité de dernière minute et vos derniers achats ne seront pas inclus dans le rapport final sur votre statut de conformité. Les méthodes de calcul varient en fonction des éditeurs et des régions. Certains fournisseurs choisissent d'ignorer tout achat effectué après la date de réception de la lettre de notification d'audit. Ce qui pourrait même vous obliger à payer vos « licences de dernière minute » en double.

6. Lire attentivement les contrats logiciels et la documentation associée.
Rassemblez tous vos contrats pour être sûr de bien comprendre la portée de chacun (y compris les restrictions régionales ou liées aux filiales), l'utilisation autorisée du logiciel et les métriques de licences applicables. Certains éditeurs continuent d'introduire des modifications dissimulées dans les petits caractères ou les liens web de vos documents d'achat.

7.Gérer la communication.
Gérez correctement la communication entre votre personnel et les auditeurs. Ne laissez pas vos employés faire du zèle, ne fournissez ni plus ni moins que les informations demandées.

8. Politiques de sécurité.
Assurez-vous de ne pas enfreindre le protocole de sécurité de votre entreprise en transférant des informations à des tiers externes. Votre directeur de la sécurité ne le verra pas d'un bon œil si vous leur fournissez des adresses IP sans garanties. Il est donc de bon ton d’envisager la signature d'un accord de non-divulgation.

9. Vérifier les résultats des auditeurs.
Vérifiez systématiquement les rapports et les analyses qui vous sont envoyés. Certains documents vous sembleront peut-être très complexes, n'hésitez donc pas à leur demander des détails sur le mode de calcul utilisé ou même à remettre les résultats en question. Il arrive qu'un auditeur fasse une erreur ou émette des hypothèses s'ils ne dispose pas de toutes les informations dont il a besoin.

Vous êtes l'expert de votre environnement et vous avez tous les droits de contester le moindre écart de calcul ou le moindre fait que vous estimez déformé.

10. Intérêts discordants.
N'oubliez pas qu'il n'est pas forcément dans l'intérêt d'un auditeur d'optimiser votre statut de licence ou de chercher un éventuel droit d’utilisation manquant.

11. Utiliser les moyens à disposition.
Servez-vous des échéances de renouvellement, des gros achats prévus, de la fin du trimestre ou de l'exercice fiscal pour renforcer votre position de négociation pendant un audit de conformité logicielle.

12. Ne jamais tourner la page après un audit.
Repensez à ce que vous avez appris durant cet audit. Exploitez cette expérience pour renforcer votre défense en vue d'un prochain audit, car non, vous n'y échapperez pas :

  • Mettez à jour vos politiques informatiques et votre stratégie de gestion des actifs logiciels
  • Exploitez cette expérience pour la gestion des licences d'un autre éditeur
  • Documentez toutes les données fournies ainsi que les résultats des audits


Les sujets: Audits logiciels




Commentaires (0):

Il n'y a pas encore de commentaire.