Loading

Audits de licences - Charte de bonnes pratiques

Par iTPro.fr | 07/11/2016
Certification, Audit, Business, Licence, Juridique

Interview croisée entre le CIGREF et le cabinet Aramis Avocats

Audits de licences - Charte de bonnes pratiques

Le cabinet Aramis Avocats par la voix de Benjamin May, associé et fondateur, et Sophie Bouteiller, Directrice de mission, Responsable des partenariats au CIGREF commentent un sujet hautement épineux au cœur de l’actualité IT et des préoccupations de la DSI.

Quel est le constat des grandes entreprises en matière d’audits de licences ? 

Sophie Bouteiller : Les grandes entreprises sont confrontées depuis quelques années à un accroissement jugé massif des audits de licences par les éditeurs de logiciels. Le CIGREF s’est interrogé : s’agit-il d’une situation classique et normale en matière d’audits, ou bien assistons-nous au développement et à l’instauration de nouvelles pratiques de la part des fournisseurs ? Les observations du CIGREF, tirées de plusieurs enquêtes récentes auprès de ses entreprises membres, sont de deux ordres :

- Il existe un durcissement des pratiques des éditeurs durant les audits, associé à une finalité commerciale de ceux-ci ;

- Face à la complexité croissante des contrats et à des pratiques agressives des éditeurs, les entreprises s’organisent pour gérer le risque de non-conformité logicielle, devenu quasi-permanent. 

Le CIGREF a pris l’initiative de travailler avec quelques entreprises membres sur le sujet et, accompagné d’un avocat, a élaboré une charte de bonnes pratiques en matière d’audits de licences. L’objectif de cette démarche est de faciliter la conduite des audits et les discussions entre les entreprises et les éditeurs de logiciels.

Benjamin May : Nous faisons le même constat. Fait nouveau depuis quelques années, beaucoup d’entreprises clientes nous sollicitent pour les accompagner dans des situations litigieuses avec les éditeurs. Dans de nombreux cas, l’approche de l’audit n’est pas rigoureuse d’un point de vue juridique, ni du côté du client, ni du côté de l’éditeur. L’audit tourne à une négociation purement commerciale avec un éditeur qui « fait feu de tout bois » pour se placer en situation de force et s’en servir comme monnaie d’échange pour vendre de nouveaux services en contrepartie d’une renonciation à une partie des conclusions de l’audit. L’audit est pourtant un mécanisme contractuel, qui doit, à ce titre, suivre scrupuleusement les principes du contrat. Les clients sous-estiment souvent cette approche juridique qui peut leur éviter des réintégrations indues.

Comment s’organisent les grandes entreprises pour gérer les audits de licences ? 

SB : L’ingénierie contractuelle en matière de licensing complexifie la gestion du contrat pour les clients : difficulté de lisibilité des règles, problème de prévisibilité, risque de non-conformité permanente. Les audits de licences consomment ainsi de plus en plus de ressources (humaines, financières, temporelles). C’est notamment pour mieux cadrer les audits et limiter cette consommation de ressources que le CIGREF promeut l’usage de la Charte, laquelle pose quelques principes généraux qui, selon les grandes entreprises, devraient présider à tout audit de licences de logiciels. Le CIGREF a noté par ailleurs que le Software Asset Management (SAM) tend à s’imposer comme une pratique de plus en plus incontournable au sein de l’entreprise, ceci afin de gérer, puis d’optimiser, un parc de licences et de postes de travail de plus en plus hétérogène et complexe. S’organiser et s’outiller pour contrôler les engagements pris, éviter les pénalités et la fraude, réduire les coûts, rationnaliser les dépenses et optimiser les négociations avec les éditeurs devient fondamental. Parallèlement à cette organisation interne, qui mobilise également de plus en plus souvent les juristes et les contrôleurs de gestion, le recours à des cabinets d’avocats spécialisés, très en amont de l’audit (dès réception de la lettre de notification), pour accompagner le client sur les plans juridique et contractuel, est une pratique qui tend à se systématiser dans les grandes entreprises utilisatrices. 

BM : Il y a effectivement deux axes d’attentions : en amont, avec la nécessité de bien négocier les contrats qui, tôt ou tard, serviront de socle à l’audit. Sur ce plan, on note que les éditeurs ont tendance à superposer les couches contractuelles, ce qui nuit à la lisibilité de l’ensemble. En aval, pour garantir que les audits ne deviennent pas abusifs. Ce qui implique une grande vigilance sur les métriques, les outils de comptages et les unités d’œuvre, les modalités d’accès aux SI du client, etc. La Charte du CIGREF contient, sur ces deux axes, une « boîte à outils » qui peut être utile pour les entreprises. 

Sur quels leviers les entreprises peuvent-elles agir pour régler efficacement et durablement le sujet des audits de licences ?  

SB : L’audit est un droit légitime des éditeurs, mais les entreprises ne peuvent pas continuer à mobiliser autant de ressources dans la gestion des multiples audits de licences auxquels elles sont confrontées chaque année. Les entreprises sont désormais en risque quasi permanent de non-conformité logicielle, du fait même des changements unilatéraux des politiques de licensing chez les fournisseurs. Pour cette raison, et pour permettre aux DSI - et aux fournisseurs - de mobiliser leurs ressources sur les sujets qui créent de la valeur pour leurs entreprises, le CIGREF continuera d’agir dans ce domaine à travers deux leviers : 

- Dans la suite de la consultation ouverte en octobre 2015, un dialogue entre le CIGREF et plusieurs éditeurs s’est engagé dans une logique collaborative. Ce dialogue est l’occasion d’adapter la Charte et d’en publier une version finale, également portée à la connaissance du collège Editeurs de Syntec numérique.

- En complément de cette Charte librement téléchargeable sur son site, le CIGREF tient à disposition des entreprises membres les synthèses des discussions avec les éditeurs, et fait la promotion de l’ensemble de ces éléments auprès de ces dernières afin qu’elles disposent de toutes les informations utiles dans leurs négociations avec les éditeurs.    

BM : Il y a eu, en France, plusieurs décisions de justice récentes relatives aux éditeurs dont le fil conducteur est l’obligation de bonne foi. Lorsqu’une entreprise constate qu’un éditeur n’agit pas de bonne foi – en communiquant des résultats d’audit surévalués pendant une période creuse, par exemple durant les fêtes de fin d’année, avec un ultimatum pour obtenir un paiement immédiat en contrepartie d’un discount ; ou encore, en conditionnant la remise au fait de remporter un appel d’offres en cours, il existe des outils juridiques pour résister. La séquence actuelle permet aux entreprises de contester les audits abusifs, à condition de bâtir au fur et à mesure un dossier démontrant les mauvaises pratiques des éditeurs. 

iTPro.fr iTPro.fr - La rédaction
Le comité éditorial du site iTPro.fr est composé de journalistes informatiques, experts et contributeurs spécialistes des services, solutions et technologies informatiques d’entreprise.
 
Guide de Sécurité Byod, Mobile et Cloud en EntrepriseGuide de Sécurité Byod, Mobile et Cloud en EntrepriseCloud et Mobilité ont fait exploser l'ancestrale sécurité périmétrique qui protégeait les infrastructures. Parallèlement, l'ingéniosité, la complexité ainsi que la multiplicité des attaques sur tous les environnements ont rendu encore plus complexe la protection des systèmes et des données...Découvrez les bonnes pratiques de Sécurité

Ressources Informatiques

Hyperconvergence : quels enjeux et bénéfices en 2017 ? En rupture totale avec les anciennes pratiques IT, l’hyperconvergence intéresse et séduit de plus en plus les DSI par leur approche très intégrée…
   Inmac wstore | 4 pages
Découvrez le Top 5 Décideur IT
1er Guide de sécurité Byod, Mobile et Cloud en entreprise Cloud et Mobilité ont fait exploser l'ancestrale sécurité périmétrique qui protégeait les infrastructures. Parallèlement, l'ingéniosité, la complexité…
   Smart DSI | 4 pages
Découvrez les 5 meilleures pratiques en entreprise
Comment optimiser la gestion d‘énergie des serveurs virtualisés ? Si la virtualisation et les infrastructures convergées mettent à la disposition des responsables IT des outils puissants, elles font naître des défis…
   EATON | 4 pages
Découvrez le livre blanc
10 manières de vous protéger contre les Ransomwares Les ransomwares utilisent des modèles cryptographiques non conventionnels tels que Tor ou des algorithmes de chiffrement courants qui rendent impossible…
   Comsoft | 8 pages
Découvrez le livre blanc
Rapport IDC sur la gestion de Cloud hybride Dans un environnement informatique hybride complexe, la gestion des opérations peut nécessiter l'utilisation de plusieurs outils de gestion et la mise…
   IDC - Red Hat | 8 pages
Découvrez le Guide IDC
Comment garantir la sécurité de vos flux documentaires ? Ce livre blanc explique comment le format PDF et la solution Power PDF de Nuance permettent de mettre en place, rapidement, efficacement et à moindre…
   Guide Nuance | 28 pages
Garantissez l'intégrité et la sécurité de vos documents
 

Informatique ProfessionnelleActualités, chroniques et dossiers IT experts

Patrice A. Bonnefoy Patrice A. Bonnefoy MVP Windows Expert IT-Pro

Freddy Elmaleh Freddy Elmaleh Consultant freelance

Cédric Georgeot Cédric Georgeot MVP File System Storage

Vidéos Informatiques

Répondre aux défis de l'hyper convergence ?Découvrez en vidéo motion les 5 atouts majeurs du partenariat DELL EMC et Misco-inmac…Par Itpro

Les Assises de la Sécurité 2015 : Yves Rochereau - Check PointCheck Point est une société spécialisée dans l'univers de la sécurité informatique…Par Itpro

Les Assises de la Sécurité 2015: Loïc Guezo - Trend MicroTout comme les entreprises, les administrations publiques qui englobent les Opérateurs…Par Itpro

Les Assises de la Sécurité 2015: Jean Noel de Galzain WallixA la tête d'une entreprise florissante, Wallix, Jean-Noël de Galzain est aussi…Par Itpro

Les Assises de la Sécurité 2015 : Jérôme Robert - LexsiEn quoi consiste cette nouvelle tendance de « Threat Intelligence », Jérôme…Par Itpro

Conseil & Expertise IT

Bénéficiez des analyses, des chroniques et des dossiers
de la nouvelle revue informatique SMART DSI pour conduire
la transformation numérique de votre entreprise.

Abonnez-vous à la revue SMART DSI