+33 1 45 75 63 48 contact@si-logism.fr

Ne vous désarmez pas face aux audits de conformité !

09 Oct, 2016
By Non classé No comments 1618 Views
Ne vous désarmez pas face aux audits de conformité !

Voici un article publié ce jour dans le monde informatique sur les risques d’audit de conformité logicielle.

Le point clé de cet article est la mise en lumière de l’audit comme levier des éditeurs pour transformer leur modèle économique, et forcer le passage sur le modèle cloud. Jusqu’à présent, les motivations des éditeurs étaient plus axés sur de l’express Ca$h.

L’arme favorite des éditeurs demeure une politique de licencing mouvante et basée des critères abscons pour une gestion casse-tête :

  • machines virtuelles, nombre de processeurs, nombre de cores, nombre de thread, taille de la mémoire, profil des utilisateurs, flux transactionnels entrants ou sortants, volumes de transactions, utilisateurs concurrents, nommés, nommés +, ETPs, devices,…
  • Ces critères peuvent varier à l’intérieur d’une même gamme de produits ou évoluer d’une version à l’autre.

Critères souvent combinés à des règles de calculs obscurs avec coefficient multiplicateur par type de processeur dans certains cas, ou avec une forte adhérence aux versions installées pour d’autres, sans oublier les règles d’arrondis…

Ajoutons à cela :

  • Des packagings peu clairs :
    • Des plug-in parfois gratuits parfois payants,
    • Des options installées par défaut mais payantes dès la première activation,
    • Des appellations régulièrement changées,
    • Des disparitions de produits avec transformation des licences acquises
  • Des facilités d’accès « piégeux »:
    • Des catalogues en libre accès et l’ensemble des produits téléchargeables en un clic ou presque,
    • Une confusion sur le produit éligible en téléchargement avec coexistence de version unitaire ou packagée en suite…

Du côté client :

  • Difficultés à maîtriser un inventaire fiable sur un périmètre en constante évolution,
  • Difficultés à « retracer » l’ensemble des achats, et contrats,
  • Manque de process de gestion logicielle suffisamment décliné sur les contraintes opérationnelles,
  • Manque de sensibilisation des opérationnels sur les risques et les enjeux,
  • Investissement lourd pour assurer la conformité sur l’ensemble des patrimoines,
  • Une priorisation des enjeux de la DSI sur les enjeux métiers.

Donc que faire ?

Le Client doit impérativement s’engager dans un process SAM adapté à son environnement et calé sur son niveau de maturité.

Et en cas d’audit de conformité, il est impératif de ne pas céder à la pression des éditeurs. En cas d’audit, ou si le risque est plus que probable, la meilleure posture à adopter au plus vite est de :

  1. Gérer l’audit en mode projet,
  2. Centraliser la gestion de l’information sur un responsable d’audit,
  3. Se faire accompagner par un tiers de confiance.

Cette dernière proposition est vertueuse car elle permet d’avoir :

  • Les justes compétences mobilisées à 100% sur le projet d’audit,
  • Une vision impartiale de la situation,
  • Des REX permettant de mettre en place la bonne stratégie,
  • La maitrise de ce type de projet,
  • La préservation des relations Clients/Editeurs,
  • Une meilleure endurance à la pression Editeur.

Alors pensez-y en cas d’audit. Vous pouvez agir contre la fatalité.

Utilisateurs de logiciels d’entreprise, attention aux audits

Vous utilisez des logiciels d’entreprise ? Attention aux audits réalisés ou commandités par les éditeurs pour retrouver du revenu ou pousser les clients vers le cloud. (Crédit D.R.).

Selon les experts en licence, les éditeurs sont désormais à l’affût. Ils cherchent de nouvelles sources de revenus. En particulier, ils veulent surveiller de plus près l’usage des logiciels dans les entreprises.

Les entreprises sont tenues de payer un droit de licence intégral pour les logiciels utilisés par leurs salariés, pour chaque système, chaque utilisateur, et peut-être davantage. Pour compliquer encore plus les choses, les règles peuvent souvent changer. Et si les entreprises ont parfois du mal à suivre la trace de chaque centime dépensé, les éditeurs, eux peuvent le faire. Les procédures tant redoutées de « vérification de conformité », et les histoires qui vont avec, sont de plus en plus courantes. « Les éditeurs mettent plus de pression sur les clients », a déclaré Craig Guarente, co-fondateur et CEO de Palisade Compliance, qui aide les clients d’Oracle à négocier avec le géant de la base de données. « Les éditeurs utilisent clairement les audits pour peser sur leurs clients », a-t-il ajouté.

Par exemple, un éditeur peut remettre en question la conformité d’une entreprise dans un certain domaine et s’en servir comme excuse pour lui proposer un tout nouveau contrat cloud. Le message est clair : signez ce contrat, et nous passons l’éponge sur la conformité. « Les éditeurs cherchent de la croissance tous azimuts, et ils se servent des audits sur les licences pour faire entrer plus d’argent dans les caisses », a déclaré l’analyste de Strativa, Frank Scavo. « Certains engagent même des procédures qui peuvent durer des années voire des décennies contre leurs clients pour récupérer ce manque à gagner sur des droits de licence prétendument non acquittés ».

Des contrats qui manquent de clarté

À bien des égards, le périmètre d’usage des licences manque souvent de clarté : parfois les droits dépendent du nombre d’utilisateurs, parfois du nombre de CPU, parfois du nombre de transactions, et parfois ils sont établis en fonction de tous ces usages en même temps. Par exemple, chez SAP, les droits de licence sont associés au concept très imprécis d’« accès indirect ». Dans le cas d’Oracle, il joue souvent sur les ambiguïtés de la virtualisation. Même si une entreprise est à jour, « les éditeurs peuvent les mettre en cause sur la base d’éléments fallacieux, imprécis ou fabriqués de toutes pièces », a reconnu Duncan Jones, vice-président de Forrester Research. « C’est comme s’ils disaient aux entreprises de payer sans rien dire et sans demander d’explication ».

Un rapport publié mardi par Flexera, une entreprise spécialisée dans la gestion des actifs logiciels, met en évidence ces tendances. Au cours de l’année 2015, 65 % des entreprises interrogées par Flexera ont été soumises à une « vérification de conformité » par un éditeur ; 44 % ont payé 100 000 dollars ou plus en coûts dits de rattrapage. « Assez couramment, pour certains logiciels, les entreprises ne disposent pas d’un nombre de licences suffisant, mais elles payent souvent aussi pour la maintenance de logiciels qu’elles sous-utilisent », a expliqué Franck Scavo. « Je travaille actuellement avec un client qui a, depuis plusieurs années, réduit son personnel de façon importante », a-t-il déclaré. « Même si ce client est en train de retrouver progressivement de la croissance, il paye pour son ERP des droits de licences surévalués par rapport au nombre d’utilisateurs qui s’en servent effectivement. Jusque-là, l’éditeur a été peu coopératif et ne lui permet pas de réduire le nombre de licences payantes ».

 Des audits pour forcer le passage au cloud

Ce problème est devenu particulièrement critique quand les éditeurs ont commencé à basculer leurs efforts marketing et de ventes vers le cloud, même s’ils continuent à compter sur des revenus de licences traditionnelles pour satisfaire les investisseurs. « Ils prétendent que les clients sont très attirés par les nouveaux produits cloud, mais en fait, ils utilisent la menace de vérification de conformité pour pousser leurs clients vers le cloud », a déclaré Duncan Jones. « Par ailleurs, très souvent, les services d’audits sont extérieurs à l’éditeur, si bien que ce dernier ne voit pas l’impact négatif que peuvent avoir à long terme ces comportements sur les relations entre les clients et l’entreprise », a déclaré le vice-président de Forrester Research. Les éditeurs apprécient sans doute le surplus de revenus que leur procurent les vérifications de conformité, mais sur le long terme, « cela peut ruiner des opportunités d’affaires », a-t-il ajouté. « Un client resté fidèle à IBM pendant 50 ans m’a raconté qu’il n’achèterait plus rien chez ce constructeur ». Selon Duncan Jones, « les pressions juridiques exercées par les fournisseurs dans ce domaine seraient difficilement défendables devant un tribunal, mais peu d’entreprises sont prêtes à prendre ce risque ».

Alors, que doivent-elles faire ? « Les entreprises doivent prendre la question des licences de logiciels au sérieux », a conseillé Craig Guarente. Son entreprise invite ses clients à se poser trois questions : « Quels logiciels possédez-vous, lesquels utilisez-vous, et quel est le différentiel ? » Les petites entreprises peuvent effectuer elles-mêmes cette vérification de conformité, mais « celles qui ont de gros volumes de licences à gérer ont probablement intérêt à investir dans un système de gestion des actifs logiciels », a suggéré Franck Scavo. « Elles peuvent aussi demander à un tiers de vérifier périodiquement cette conformité, surtout si l’entreprise prévoit de se tourner vers le produit d’un autre éditeur », a-t-il ajouté. « Les éditeurs pensent que leur expérience dans les contrats de licence leur donne un avantage sur leurs clients, mais ces derniers doivent apprendre à recentrer la relation sur la relation à long terme », a conseillé Duncan Jones de Forrester Research. « Si les clients s’opposaient collectivement aux éditeurs, ils pourraient être en position de force face aux éditeurs, au-delà de ce qu’ils imaginent ». Oracle, SAP et IBM n’ont pas pu être joints immédiatement par notre confrère pour commentaire.

Article de Katherine Noyes / IDG News Service (adapté par Jean Elyan)

Share this post