Sep 24, 2020

2020 et la gestion des audits logiciels : se protéger contre les risques !

Personne n’a oublié les nombreuses annulations de conférences et de salons professionnels de ce début d’année. Pour les éditeurs de logiciels, la pandémie a provoqué un manque à gagner, estimé à un milliard de dollars !

Ce n’est qu’un exemple de la façon dont de multiples entreprises ont vu leurs recettes chuter de façon vertigineuse en l’espace de quelques mois. Au début de la pandémie, il était impensable de lancer un audit contre des sociétés en proie au confinement, amenées à licencier et obligées de réorganiser leur façon de travailler. Mais à l’heure de la « nouvelle normalité », plus rien n’empêche le retour de certaines pratiques elles aussi « normales » — les audits de conformité logicielle, par exemple.

Contrairement aux renouvellements de contrats ou aux ajustements, les audits de conformité logicielle ne sont pas toujours planifiés. Sauf accord préalable, un éditeur peut lancer un audit quand bon lui semble. En d’autres termes, votre entreprise peut rapidement être confrontée à plusieurs audits en même temps. Le cauchemar !

Les conséquences sur le résultat de votre entreprise et son budget informatique ne laissent aucun doute. Si un audit ressemble généralement à une tornade, consommant énormément de temps et d’énergie pour laisser des experts en gestion des actifs logiciels (SAM) sur les genoux, plusieurs audits de conformité logicielle menés simultanément feront l’effet d’un tsunami de plusieurs mois, engloutissant un nombre incalculable d’heures de travail et de précieuses ressources, et anéantissant tout sur leur passage.

Parce qu’il permet à votre entreprise de gagner un temps précieux en cas d’audit de conformité, un programme de gestion des actifs logiciels constitue un atout essentiel au sein de votre ligne de défense — laquelle devra, au cours des mois à venir, être suffisamment solide, flexible et agile pour survivre aux salves de différents éditeurs.

Certes, nous traversons une période difficile, mais ce n’est pas une raison pour que les audits constituent une épreuve insurmontable. Voici quelques principes de gestion des actifs logiciels qui vous aideront à aborder au mieux une telle situation.

Utilisateurs ! Processus ! Outils !

Travailler à distance s’avère parfois compliqué, mais ce n’est rien par rapport à un audit de conformité logicielle subi par une entreprise alors même que la moitié de ses effectifs sont en télétravail ! Pour parer à une telle situation, il est judicieux de se préparer en amont.

Dans un premier temps, constituez votre équipe d’audit : si ce n’est déjà fait, formez une « A-Team » dont les membres sont issus des services IT, Achats et Juridique, ainsi que d’autres domaines spécialisés qui s’avéreront fort utiles, par exemple les responsables d’applications spécifiques.

Préparez les processus : répartissez les tâches entre les différents membres de l’équipe d’audit : qui répondra à la lettre d’audit ? Qui sera l’interlocuteur unique avec l’éditeur ? Qui gèlera les achats de produits auprès de cet éditeur ? Qui se chargera de mettre en œuvre les procédures de sécurité, etc.

Envisagez le recours à un outil de gestion des actifs logiciels : pour chaque éditeur, il est nécessaire de réunir une multitude de métriques de licences, de droits d’utilisation des produits et d’autorisations — et à cet égard, un tableur ne vous sera pas d’une grande utilité En revanche, un outil de gestion des actifs logiciels permet de consolider et traiter l’ensemble des données d’audit essentielles, d’identifier les lacunes au niveau des données et de générer un rapport de conformité. Un tel outil vous aidera à réduire le nombre de jours, voire de semaines, nécessaires pour répondre à un audit tout en diminuant les risques d’erreurs inhérents à la saisie manuelle de données dans un tableur.

Les boxeurs ont coutume de dire que le plus difficile, ce n’est pas le combat, mais l’entraînement. Il en va de même pour les audits de conformité logicielle. Si vous vous préparez dès maintenant, c’est-à-dire avant la déferlante d’éditeurs à court de liquidités, vous pourrez faire face rapidement, et efficacement.

Négociez un report

Cette approche ne fonctionne pas avec tous les éditeurs. Certains se montreront compréhensifs en raison du contexte et seront davantage enclins à répondre favorablement à votre requête. Par exemple, IBM fait souvent en sorte que le processus d’audit se déroule de façon positive afin de fidéliser ses clients.

Cela dit, un report n’est pas un sauf-conduit. Si vous bénéficiez d’un report, mettez ce délai à profit pour plancher sur le dossier en identifiant les personnes, les processus et les outils qui vous aideront à recueillir les données de conformité nécessaires pour répondre de façon optimale une fois votre période de grâce terminée.

Réalisez un audit interne

On a coutume de dire que la pratique est la clé de la perfection — et les audits de conformité logicielle ne font pas exception à la règle. Prenons l’exemple d’Oracle.

Bien implanté dans de nombreuses entreprises, Oracle s’est forgé une solide réputation d’auditeur agressif. Et s’il est souvent difficile d’établir la conformité de licences logicielles, c’est quasiment mission impossible face à la mosaïque de contrats, d’accords et de règles non contraignantes qui caractérisent l’éditeur californien.

Si un éditeur veut absolument trouver une faille de non-conformité, les méthodes ne manquent pas, potentiellement à des endroits qui n’ont pas fait l’objet d’audits approfondis par le passé ; Java SE, par exemple, puisque l’on parle d’Oracle.

Bien mené, un audit interne décèlera vos points faibles en matière de conformité — par exemple les coûteuses et inutiles activations de Java SE —, ce qui vous aidera à colmater les brèches dans votre système de conformité avant qu’un éditeur ne les pointe du doigt. Autre avantage, un audit interne permet d’identifier les domaines où votre entreprise dispose d’un nombre de licences excessif (over-licensing), procurant à votre équipe de précieuses armes pour répondre à moindre coût à un prochain audit.

Guide pratique de la défense contre l'audit logiciel

Anticipez les audits en alliant solidité, flexibilité et agilité avec le Guide pratique de l’audit logiciel.

Télécharger le guide >>

Définissez une stratégie de migration vers le cloud computing avant un audit

SAP, Oracle, Microsoft et tous les éditeurs abondamment représentés dans votre parc logiciel souhaitent ardemment que vous achetiez leurs solutions cloud. Si vous vous trouvez dans l’obligation d’acquérir des licences supplémentaires ou risquez des pénalités pour non-conformité, il est fort probable que le sujet sera abordé au cours des négociations et que l’éditeur propose un abonnement à certains de ses services cloud — pourquoi pas assorti d’une petite remise.

Mais de trop nombreuses entreprises abordent la migration vers le cloud en saisissant de telles offres pour se retrouver rapidement ligotées par des abonnements dont elles n’ont pas besoin ou qu’elles n’utilisent que partiellement — pressurisant au passage un budget informatique qui se réduit comme peau de chagrin.

Si vous craquez pour une solution de cloud computing, faites-en part à l’équipe de gestion des audits dont je parlais au début de cet article. Votre A-Team doit inclure un représentant du service Achats, voire un collègue de la DSI ou de la direction technique. Parlez-leur de la stratégie de la transition vers le cloud. Si un éditeur propose d’acquérir une solution cloud à des conditions séduisantes au lieu de vous imposer des frais de non-conformité, vous serez en mesure de lui soumettre une contre-proposition correspondant aux solutions « cloud » dont votre entreprise a réellement besoin.

Vous avez ainsi la possibilité de transformer une épreuve frustrante — un audit — en une situation gagnante pour tous : votre entreprise achète des licences dont elle se servira, et l’éditeur réalise une vente plus que bienvenue.

Dernière chose : préparez votre dossier

Imaginez les audits de conformité logicielle comme un outil de vente, plutôt qu’un racket. Vous transformez ainsi un contraignant exercice en une négociation, et dans cette optique, il est important de bien réviser vos connaissances en la matière.

La création d’un programme SAM réunissant les personnes, les processus et, un outil professionnel de gestion des actifs logiciels, est une étape importante qui simplifiera la préparation d’un éventuel audit. Rappelez-vous ce que disent les boxeurs…

La période est difficile pour les éditeurs de logiciels comme pour leurs clients. Tout le monde est sous pression pour trouver les moyens de gagner en efficacité, de protéger son budget et de rattraper le manque à gagner.

Si vous abordez un audit sans avoir le moindre doute quant à la conformité de vos licences logicielles, que vous répondez rapidement à la notification de l’éditeur, et que vous annoncez clairement vos besoins futurs, l’audit se présentera sous les meilleurs auspices, car vous aurez jeté les bases d’un accord plus équitable.

Guide pratique de la défense contre l'audit logiciel

Retrouvez les conseils de nos experts en téléchargeant le Guide pratique de l’audit logiciel.

Télécharger le guide >>



Les sujets: Audits logiciels