aoû 24, 2016

8 mythes importants sur les certifications des fournisseurs

Il y a actuellement beaucoup de confusion sur le marché du SAM concernant les « certifications » des outils de gestion de licences. Que faut-il comprendre quand un éditeur affirme qu’une plate-forme ou un outil sont certifiés. Quels avantages cette « certification » vous apporte dans le cas d'un audit ?

Commençons par le début. 

Une « certification d'outil d’un fournisseur » signifie qu'un éditeur de logiciels atteste la qualité des données ou les résultats générés par un outil de gestion des licences logicielles (SAM). Ç’est plutôt bien, non ? Quoi de mieux que de s'asseoir à une table de négociations, armé de données qualifiées qu'un fournisseur a déjà approuvées en amont comme officielles et précises ?

Eh bien, vous serez peut-être surpris d'apprendre que les certifications de fournisseur n'existent pas pour les outils de gestion de licences informatiques. C'est vrai. Même si certaines sociétés rapportent des certifications de fournisseurs, cela ne constitue en rien un critère déterminant pour le choix de l’outil SAM qui doit répondre aux besoins de votre organisation. Comme l'a expliqué Martin Thompson, fondateur de The ITAM Review, dans un récent article : « Je n'utiliserai pas les vérifications de fournisseurs comme un différenciateur concurrentiel pour faire un choix entre divers outils. »

Ce blog pour objectif de réfuter huit mythes communs. Pour plus de clarté, nous ajouterons des faits réels provenant des sites Web des fournisseurs IBM et Oracle.

Mythe 1 : Il existe des certifications de fournisseur pour les outils de gestion de licences.

Non, bien sûr que non. En y réfléchissant un peu, ça semble évident. Pourquoi un fournisseur renoncerait-il à son droit d'audit (et à une potentielle source de revenus) simplement parce que le client a payé un outil de gestion de licences auprès d'un tiers ?

« Mais le commercial de la société X m'a dit qu'ils avaient une certification d'Oracle et d'IBM. Êtes-vous en train de me dire qu'il ment ? » « - Disons qu’il aimerait tellement que ce soit vrai, qu’il finit par y croire. » Regardons de plus près ce qu'Oracle et IBM disent à ce sujet.

Mythe 2 : IBM accepte officiellement des outils tiers pour remplacer ILMT.

Pour IBM « le silence est d’or ». Le site Web d'IBM ne fournit aucune information concernant les directives, les programmes, la certification des outils ou le processus de vérification des outils. Effectivement, IBM n'a jamais fait la moindre déclaration publique sur des intentions visant à changer ses conditions d'utilisation en expliquant que des outils IBM tels que ILMT, TADd/TAD4D, IBM BigFix ou SUA devaient être utilisés pour le reporting de sous-capacité. 

Clarifions la confusion par des faits. Même si une telle annonce était faite à l'avenir, votre seule option serait d'obtenir une dérogation ou une modification de contrat directement auprès de l'équipe juridique et conformité d'IBM. Mais cette dérogation ne réduirait pas votre risque d'audit. Au contraire, votre risque d'audit augmenterait de manière significative, puisque cette dérogation vous permettrait de remplacer l’ILMT (IBM License Metric Tool). IBM pourrait vous auditer à la fois sur les données ET sur l'outil.

De plus, même si IBM propose différentes options pour un statut partenaire ainsi que des certifications techniques et conceptuelles, aucune ne peut être interprétée comme une certification de fournisseur d’outil SAM. Malheureusement, certaines déclarations marketing prêtent à confusion et il est difficile de différencier les options. Il est déterminant de regarder d'un œil critique les fournisseurs de technologies qui prétendent être des spécialistes de tout ce qui est  autre que l'achat et l'installation de leurs propres produits.

Le seul avantage d'une dérogation repose sur la possession d’un outil tiers déployé alors  vous ne voulez pas qu’un deuxième agent utilise les mêmes données. Un problème majeur avec ILMT est que son agent actif tourne sur chaque machine à un intervalle d'examen de 30 minutes. Mais tout outil de remplacement devrait faire la même chose et garantir les mêmes prestations sur vos machines. Les données seraient utilisées en supplément des audits d'IBM, pas en remplacement. Quel est votre bénéfice ?

Mythe 3 : Certains outils tiers constituent des exceptions. Pourquoi ? Parce que c’est ce qu’on dit, tout simplement !

Tout récemment, IBM a officiellement déclaré qu'il « n'accepte plus » les technologies d'un certain fournisseur en remplacement d'ILMT. IBM a clairement annoncé que cette solution, qui a été fortement commercialisée comme outil permettant de remplacer ILMT, ne peut plus être utilisée en remplacement.

Les auditeurs d'IBM ont initialement ignoré les résultats d'une technologie tierce qui fournit une qualité de données insuffisante et incomplète. IBM semble maintenant avoir adopté cette approche lors de la négociation avec un client pour une opération de  remplacement d’ITML.

Mythe 4 : Les technologies alternatives sont toujours acceptées pour les audits logiciels

Il est possible d’utiliser une technologie alternative à ILMT lors des « Reviews » (inspections) volontaires, néanmoins il n’existe pas de droit naturel lors des procédures. Même sans devoir faire face à un important audit à court terme, il serait dangereux de supposer que l'utilisation d'une technologie externe sera acceptée aveuglément. Une telle utilisation doit être déterminée par une négociation entre les parties. Bien qu’au premier abord on puisse penser que ces audits « n’engagent à rien » il est important de ne pas perdre de vue que les « Reviews » sont - à la base - des « audits normaux » qui ont été déclenchés par le client. Toutes les informations recueillies et échangées avec le fournisseur ou son partenaire peuvent être – et seront – interprétées pour identifier l'utilisation correcte et les licences. Dès qu'un tel « audit pour la forme » est mené, il faut être conscient que les mêmes règles et procédures que l’on peut attendre d’un audit classique d'un fournisseur s'appliqueront.

Mythe 5 : Un outil de découverte vérifié signifie que votre outil de SAM est certifié par Oracle

Les faits : Oracle ne fournit aucune certification d'outil.

Oracle travaille avec un processus de vérification des outils de découverte, ce qui  garantit que l'outil fournit les mêmes informations d'utilisation Oracle que celles qu'un client obtiendrait d'un script de conformité Oracle exécuté manuellement. Ceci atteste de l’acceptation des résultats de la découverte par l'équipe conformité d'Oracle. Mais- et cela est crucial- cela signifie que seules les données brutes sont acceptées and non les résultats de l’outil SAM. 
Néanmoins nous sommes bien loin de la certification d'un outil de SAM et de ses résultats Oracle. L'étude ITAM Review a traité la portée limitée du processus de vérification d'Oracle en détail.

Contrairement à IBM, le site Web d'Oracle spécifie le positionnement de l’éditeur :

« Le processus de vérification ne couvre que la collecte des données liées à l'installation et à l'usage des produits Oracle spécifiques, à savoir la base de données Oracle et les options associées. La vérification n'inclut aucun autre produit Oracle ou les capacités globales de la solution du fournisseur. […]. Veuillez noter que l'installation et l'usage de l'outil d'un vendeur vérifié ne remplace pas un examen ou un audit de licence d'Oracle ni ne révoque le droit contractuel d'Oracle à réaliser un examen ou un audit de licence. »

Alors, où est le piège ? Gardez à l'esprit qu'il existe de nombreux détails à prendre en compte quand vous examinez la manière dont Oracle considère les sources de données. Par exemple, seules les bases de données Enterprise Edition et les options associées sont reconnues — ce qui exclut plus de 90 % des produits Oracle.

Mythe 6 : La qualité des données n'est pas un problème pour un outil vérifié

Un outil tiers est vérifié quand son résultat est cohérent avec ce que les scripts d'Oracle produiraient ou quand il dépasse cette production. Mais des faux résultats positifs pendant ce processus restent très courants.

De fait, chez Aspera, nous avons ces derniers temps régulièrement constaté de « faux résultats positifs » provenant d'outils « vérifiés» par Oracle. Des produits comme Advanced Compression, Tuning Pack et Diagnostics Pack sont décrits comme étant utilisés alors qu’en réalité ils ne le sont pas. Ou encore les installations Standard Edition s'affichent comme des Enterprise Editions après l’utilisation d’un patch.

Ce problème est si fréquent qu'Oracle doit intensifier la fréquence et le contenu de son processus de re-vérification. Pourquoi ? Parce qu'après avoir été vérifiés initialement, certains fournisseurs ont « oublié » de maintenir leur composant Oracle, et n'ont plus été capables de fournir des résultats précis couvrant les dernières versions de produits Oracle.

Mythe 7 : Un outil vérifié remplace un audit Oracle

Utiliser un outil vérifié ne remplacera jamais une « Review » ou un audit de licence Oracle. Ces données sont utilisées pour compléter le processus d'examen des services de gestion de licences (LMS) Oracle. Mais il en est de même de toutes les données que vous souhaitez transmettre à Oracle.

Élément d'importance concernant la vérification du LMS d'Oracle, The ITAM Review a récemment écrit que des sources internes ont signalé que « l'ensemble du programme est gelé avec 50 outils en attente de vérification…et que la vérification en tant que critère de qualité ne doit pas être prise en compte.» De nombreuses rumeurs circulent à ce sujet, plus généralement que l'« outil d'analyse d'Oracle » n'existera jamais.

Mythe 8 : La vérification vous apporte la tranquillité d'esprit

Il est important de savoir que les outils de vérification n'a aucune incidence sur les droits, l'évaluation ou la conformité. Chaque approche de la vérification ne prend en considération que les données du stock et des mesures qu'il peut techniquement saisir. Si on se réfère à une base de données, l'outil vérifié donne les mêmes données que les propres scripts et outils d'Oracle. En clair, la faiblesse des données relève toujours de la responsabilité de votre organisation.

Certains éditeurs de logiciels SAM sollicitent les certifications du développement et de l'administration techniques d'Oracle. Ces certifications permettent à des plates-formes d'utiliser le logiciel Oracle dans leurs produits et architectures.

Il va sans dire qu'il s'agit d'un type de « certification fournisseur » totalement différent qui n'a aucun impact sur la fonctionnalité du SAM. Certaines sociétés tierces sont particulièrement créatives en termes déclarations de certification pour apparaître plus pertinentes auprès des nouveaux clients. Il faut se méfier de ces promesses, car la réalité est plus complexe qu'un slogan marketing.  

Quel est le but de cette analyse ?

Pourquoi y-a-t-il autant de publicité sur ces certifications fantômes ? Et puisque la certification de fournisseur n'existe pas, pour quelle stratégie opter lors du choix de votre solution de SAM ?

La tendance : Généralement, la volonté de promouvoir la « certification de fournisseur » est due à la faiblesse de la plate-forme tierce. Elle ne dispose peut-être pas des connecteurs adéquats pour l'outil de découverte favori d'un client ou pour un outil mandaté par un fournisseur. Ainsi, la plate-forme SAM défend-t-elle sa propre analyse pour éventuellement compenser l'inefficacité de sa collecte de données.

Les solutions SAM efficaces sont basées sur la confiance, sur la fiabilité et sur les résultats. Si ces principes de base font défaut, généralement d'autres lacunes de la plate-forme ne tardent pas à apparaître.

L’alternative : Si vous avez déjà acheté une plate-forme SAM qui ne répond pas aux promesses de vente, examinez votre contrat. Vous avez probablement une clause vous autorisant à le résilier si certaines fonctions définies, voire toutes les fonctions, sont manquantes.

S'il n'existe aucun recours contractuel, le mieux est de contacter un consultant expérimenté en SAM. Il peut aider votre organisation à définir clairement vos options techniques et conceptuelles, ce qui peut inclure de remplacer la technologie. Le processus, la technologie et la qualité des données sont toujours la clé de votre réussite.

La stratégie : Il est crucial d'effectuer une démonstration de faisabilité (POC) technique pour tester et donc vérifier les affirmations sur l'outil avant l'achat. Acheter et mettre en œuvre une technologie sous-optimale peut s’avérer onéreux, chronophage si les audits ne sont pas correctement gérés, sans oublier les sanctions qui incombent à la non-conformité. Méfiez-vous du marketing qui promet une solution rapide aux défis que vous devez relever. Une solution SAM a besoin de temps pour développer toute son efficacité.

Chez Aspera, c’est l’expérience qui fait que nous savons que mettre en œuvre une technologie qui ne tient pas ses promesses, est une erreur très coûteuse. Nous répondons aux besoins des grands groupes et les aidons dans leur démarche pour remédier à ce genre de désagréments.

Nous savons que la confiance est la condition sine qua non d’une bonne gestion des actifs logiciels. Nous sommes d’autre part convaincus que les relations client ne se terminent pas à la signature d’un contrat ou juste après l’implémentation de votre outil SAM. Notre équipe vous informe en toute honnêteté sur les capacités et les limites des outils.



Les sujets: IBM, Oracle, SAM Insights




Commentaires (0):

Il n'y a pas encore de commentaire.