jan 29, 2019

Audits logiciels IBM : comprendre les principes de base

Les audits logiciels IBM sont de plus en plus fréquents, c’est pourquoi une bonne préparation des audits doit-être votre première ligne de défense. Pour rester conforme et optimiser vos licences IBM, il est essentiel de bien comprendre le fonctionnement de l’utilisation et des droits d’utilisation afin d’éviter les risques de non-conformité.

IBM Software Audits

Pourquoi les audits IBM sont-ils plus difficiles à réussir que les autres ?

Les audits IBM diffèrent souvent des autres éditeurs pour plusieurs raisons. Ils sont généralement réalisés tous les quatre ans pour faire monter les frais de maintenance via des tiers (Deloitte, KPMG, etc.).

De nombreux facteurs comme la diversité des contrats, la complexité des produits et des métriques (qui changent de nom en permanence) et le manque de connaissances vis-à-vis des conditions d’utilisation de certains avantages liés aux licences rendent ainsi les audits de gestion des licences IBM de plus en plus difficiles à réussir. De plus, les facteurs précités augmentent le risque de non-conformité.

Les principaux contrats IBM

Le contrat le plus utilisé chez IBM est le contrat Passport Advantage (PA). L’entreprise propose parfois le contrat Enterprise Software & Services Offering (ESSO), qui permet de rassembler plusieurs contrats du même groupe.

Dans le cadre d’un contrat, le client peut acheter le droit d’utilisation du produit et/ou sa maintenance optionnelle. Cet abonnement de maintenance doit ensuite être renouvelé chaque année pour toutes les licences achetées. En cas de non-renouvellement de la maintenance et à l’issue d’une période d’un an, le client sera contraint de payer des frais de rétablissement de licences pour pouvoir utiliser une nouvelle version du produit et bénéficier à nouveau des droits de support. Enfin, les licences de mise à niveau (« trade-up ») permettent de changer de produit au sein d’une gamme, par exemple en passant de Domino Messaging Server à Domino Application Server.

Les principales métriques IBM

IBM dispose d’une large gamme de métriques appartenant à deux grandes catégories distinctes :

Métriques matérielles
  • Storage Capacity Unit (SCU) - anciennement métrique Terabyte (TB). IBM a lancé cette métrique en juin 2016 pour Spectrum Control et Virtualize (TPC, SVC). IBM définit trois classes de stockage, chaque type de stockage ne correspondant pas à ces trois classes, est associé à la catégorie 1.

Classe de stockage

Technologie

Cas d'utilisation

1

Flash et SSD

Performance maximum

2

SAS et Fiber Channel

Performance moyenne, lecture intensive

3

SATA et Near-Line SAS

Données, sauvegardes et archives moins actives

  • PVU (Processor Value Unit) : basée sur le nombre de cœurs d’un serveur multiplié par un coefficient dépendant du type de processeur. Selon les droits d’utilisation, on parle de capacité maximale ou de sous-capacité.
  • Resource Value Unit (RVU): la notion de ressource étant variable, sa spécificité repose sur une comptabilité dégressive.
  • Et plus...
Métriques utilisateur
  • Authorized User: nombre d’utilisateurs ayant accès à la solution.
  • AUVU (Authorized User Value Unit), XUVU (external User Value Unit), EUVU (Employee User Value Unit): métriques dérivées. Il est conseillé de toujours consulter l’accord de licence (ces métriques sont souvent dégressives).
  • Floating User, Concurrent User: dépendent du nombre d’utilisateurs connectés simultanément.
  • Simultaneous Session: dépend du nombre de sessions ouvertes à un moment donné.
  • CEO: dépend du nombre d’employés et de tiers pouvant accéder au système informatique (au sens large). Les auditeurs se basent souvent sur le nombre de postes de travail.

Astuces de défense stratégique contre les audits

Tous les contrats IBM contiennent une clause d’audit. Il existe deux types d’audits, selon la taille de l’entreprise cliente et les logiciels utilisés :

  • L’autodéclaration , dans le cadre de laquelle le client déclare lui-même son utilisation et ses droits d’utilisation à IBM ;
  • L’audit complet, entièrement réalisé par IBM.

À la réception de l’avis par courrier, il est judicieux de confier la gestion de l’audit à une organisation interne à l’entreprise. Nous recommandons même de créer une équipe responsable de l’audit pour assurer son bon déroulement. Les parties concernées sont le service achats, l’équipe de déploiement et, si nécessaire, les experts juridiques.

Avant de transmettre vos données à IBM, vous devez absolument avoir une vue complète sur vos installations IBM (sources de données, architecture, produits, utilisateurs, etc.) et vous assurer que vos données sont correctes et complètes. Parallèlement, il est essentiel de collecter toutes les preuves d’acquisition de licences, de conditions d’utilisation et de contrats de maintenance pour garantir le respect des dispositions des modèles de licences.

La plupart des entreprises s’exposent à des risques en appliquant le modèle « sous-capacité » sans nécessairement en avoir le droit. En effet, ce modèle est uniquement applicable si les critères suivants sont respectés :

  • Tirer profit de ce modèle sur le plan contractuel ;
  • Disposer d’une technologie de virtualisation éligible ;
  • Appliquer les règles de calcul selon les définitions d’IBM ;
  • Appliquer le modèle aux produits éligibles à la sous-capacité ;
  • Disposer d’un modèle de processeur éligible ;
  • Déployer IBM License Metric Tool (ILMT) ou IBM BigFix.

Conclusion

Les risques de non-conformité découlent principalement du contrôle de l’utilisation et du manque de connaissances concernant les droits d’utilisation. En apprenant notamment à gérer les contrats de licence et de maintenance, à vérifier l’historique des modèles de licence et à contrôler le déploiement de bundles, vous resterez parfaitement conforme et prêt à faire face à votre prochain audit.



Les sujets: Audits logiciels, IBM