Retour aux actualités
Article suivant Article précédent

Les bonnes pratiques pour faire face à un audit de conformité logicielle

Articles

-

23/04/2020

L’audit de conformité logicielle mené par un éditeur est souvent vécu comme un traumatisme par les entreprises clientes. Comment se préparer à ce contrôle puis négocier une éventuelle régularisation ? Un webinaire d’Atout DSI fait le point, avec Maître Betty Sfez du cabinet Solegal et Frédéric Monnot de Rimini Street.

Le dernier webinaire d’Atout DSI porte sur un sujet particulièrement sensible : l’audit de conformité logicielle. Depuis quelques années, les éditeurs ont généralisé l’introduction d’une clause d’audit leur donnant la possibilité de contrôler les conditions réelles d’utilisation de leur logiciel et, le cas échéant, de mesurer des écarts entre ce que prévoit le contrat de licence et la réalité du terrain. Ce qui peut donner lieu à des régularisations sur des montants particulièrement élevés.

Que recouvrent concrètement les audits de conformité logicielle ? 

Que faire avant, pendant et après ? Durant ce webinaire Atout DSI, Maître Betty Sfez, avocate au barreau de Paris et directrice du pôle IT du cabinet Solegal, et Frédéric Monnot de Rimini Street, premier prestataire mondial de services de support tiers pour les logiciels Oracle et SAP, répondent aux questions des DSI.

CONSULTEZ LE REPLAY DU WEBINAIRE 

Betty Sfez rappelle tout d’abord que l’audit de conformité logicielle, “vécu parfois comme une perquisition”, ne concerne pas que des grands comptes contrôlés par des SAP ou des Oracle.

Des PME se font également auditer par des éditeurs de taille moyenne. Les éditeurs, ont, quelle que soit leur taille, une volonté d’auditer ou du moins menacent de procéder à des opérations de vérification.”

Frédéric Monnot confirme que tous les éditeurs, notamment nord-américains, mènent potentiellement des audits.

Cela fait partie intégrante de leur business model. La conformité logicielle représente même une part importante de leur chiffre d’affaires.”

Certaines organisations peuvent être plus particulièrement ciblées. Les multinationales aux multiples filiales à l’étranger peuvent avoir des difficultés à avoir une vision globale et temps réel de l’état de leur parc applicatif. Elles se mettent en non-conformité sans qu’il y ait une volonté de dissimulation de leur part.

Les éditeurs surveillent aussi d’un œil attentif les entreprises qui mènent des opérations de fusion-acquisition ou de restructuration visibles par exemple dans la presse. Des opérations qui auront probablement un impact sur leurs systèmes d’information et le nombre de licences. D’autres facteurs peuvent influer sur le risque d’audit de conformité logicielle selon Frédéric Monnot de Rimini Street : une longue période sans achats de licences ou des négociations avortées, voire des demandes techniques qui concerneraient des composants qui ne sont pas sous licence.

Anticiper est essentiel pour prévenir les risques liés à la conformité logicielle

Comment se préparer à cette éventualité ?

Pour Betty Sfez, il s’agit tout d’abord de centraliser les contrats et d’analyser point par point chaque politique de licence logicielle. Un travail préparatoire rarement effectué selon elle.

Dans la pratique, de nombreux achats de logiciels sont réalisés sans que la direction juridique n’ait été mise au courant. Ce travail d’identification et de recoupement de la documentation juridique prend du temps. Il doit être réalisé en amont d’un audit de conformité logicielle.”

Deuxième conseil : déchiffrer la clause d’audit dans les contrats de licence logicielle.

Elle est souvent très mal rédigée, floue ou incomplète, poursuit-elle. Il est difficile d’appréhender son périmètre, la durée de l’audit ou ses modalités. On ne connaît pas non plus le coût de cet audit et qui le supporte. A la lecture de cette clause, il faut se poser toutes ces questions pratiques et, au besoin, la négocier.” 

Frédéric Monnot abonde dans son sens.

“La politique de licensing d’un éditeur de logiciels n’est pas toujours facile à décoder. Comment être sûr d’être dans les clous ? La comptabilisation des serveurs virtuels dans le cas d’Oracle est complexe à appréhender, de même que la notion d’utilisateurs connectés chez SAP. Et quand on s’adresse à l’éditeur pour des éclaircissements, l’interprétation peut varier d’un interlocuteur à l’autre.”

Un programme de SAM (Software Asset Management ou gestion des actifs logiciels) est la meilleure manière de se préparer à un audit de conformité logicielle et plus largement à maîtriser sa politique d’utilisation des licences, ses coûts de licence et sa conformité. Les plus grandes entreprises emploient une personne dédiée au SAM, au regard des enjeux dédiés. Les ETI ont aussi tout intérêt à s’organiser pour inventorier leurs actifs logiciels, faire des audits à blanc sur les périmètres et éditeurs prioritaires, et suivre les changements d’environnement. Il est également particulièrement important de partager l’information des différentes politiques de licence en interne pour que chacun soit conscient des exigences et des impacts.

De la notification à l’audit de conformité, un mois pour se préparer

La notification d’un audit arrive souvent sous la forme d’une lettre avec accusé de réception. De deux choses l’une, soit l’éditeur souhaite obtenir des informations et l’entreprise cliente doit lui transmettre les documents demandés, soit il indique son intention de mener un audit sur site. “Cette notification doit mentionner le motif de l’audit, la date à laquelle il sera réalisé, et la finalité des recherches, détaille Betty Sfez. Si cette notification n’est pas suffisamment détaillée, il faut demander des précisions.”

Il se passe en moyenne environ un mois entre la réception de la notification et l’audit.

“Passé le premier moment de panique, la première action à engager est d’informer très rapidement la direction juridique, reprend Betty Sfez. La DSI ne doit pas chercher à régler le problème dans son coin. La conformité logicielle est avant tout un sujet juridique et légal. Légal car ne pas répondre aux conditions de la licence peut être assimilé à de la contrefaçon.”

“La direction générale doit être également informée, un audit de conformité logicielle pouvant avoir d’importantes conséquences budgétaires. “, complète Frédéric Monnot de Rimini Street.

Il faut ensuite, considérer la préparation de l’audit comme un projet et comme dans tout projet, nommer un responsable, se coordonner, etc.

Il faut pouvoir être prêt dans un délai relativement court.”

Dans cette “task force”, il doit y avoir, a minima, selon Betty Sfez, l’interlocuteur privilégié de l’éditeur en interne, une personne de la DSI et un autre de la direction juridique, voire la direction des achats.

Ainsi souligne Frédéric Monnot de Rimini Street, ” la responsabilité sera portée conjointement par toutes les parties prenantes et le processus maîtrisé.  Cela permettra également de parler d’une seule voix à l’éditeur de logiciels. “

Négocier, toujours négocier pour finaliser l’audit de conformité logicielle

Quoi qu’il en soit, un audit fait appel aux subtilités de la négociation.

“Même si l’entreprise n’est pas en situation de force et qu’elle n’a pas toujours une connaissance parfaite de son parc applicatif, cela reste une négociation, rappelle Betty Sfez. L’entreprise doit prendre le sujet à bras le corps et montrer sa bonne foi. Il n’y a finalement que rarement de volonté de cacher une utilisation indue ou de contourner le paiement de la licence.”

Frédéric Monnot de Rimini Street approuve.

L’audit consiste généralement à constater un écart entre ce qui a été commandé et ce qui est réellement utilisé. Cela revient à une régularisation de commande et comme toute commande, cela se négocie.” Il estime que l’éditeur est aussi dans cette volonté de négocier. “Il souhaite que le client reste un client. L’éditeur a aussi tout intérêt à pérenniser la relation. A partir d’une situation conflictuelle, l’objectif est de régulariser puis de repartir sur de bonnes bases.”

Bien évidemment, selon Maître Betty Sfez, le rapport d’audit doit être étudiée de façon contradictoire par l’entreprise auditée. Plus le dossier sera étayé, plus la négociation sera facile, et à ce titre la mise en place d’un programme de gestion des actifs logiciels s’impose toujours à la suite d’un premier audit de conformité logicielle.

Notamment car un audit en appelle souvent un autre, comme le souligne Maître Betty Sfez. Ses clients subissent en moyenne deux audits. Autant être préparé !

Retrouvez les réponses aux questions des participants dans notre replay

  • Comment être mieux préparé à un audit ?
  • Que faire à la réception de la notification ?
  • Une notification par email a – t-elle valeur juridique ?
  • Quel accès aux données est exigible et effectivement réalisé par l’éditeur ?
  • Cela peut-il contrevenir à des exigences RGPD ?
  • Comment s’armer contre la pression des éditeurs ?
  • L’éditeur est-il en droit de demander des arriérés de maintenance et jusqu’à quand ?


VISIONNEZ LE REPLAY DU WEBINAIRE


Le sujet de notre dernier webinaire : Comment réussir un audit de conformité logicielle, des exigences juridiques à la négociation finale 

Les audits de conformité logicielle font désormais partie du paysage juridique et économique des DSI, notamment en ce qui concerne les ERP. Afin de clarifier vos droits et devoirs vis-à-vis des éditeurs de logiciels, nous avons réuni Maitre Betty Sfez du cabinet Solegal et Frédéric Monnot de Rimini Street pour 30 minutes de retour d’expérience. Ensemble, ils partageront leurs conseils pour se préparer et garder le contrôle avant-pendant et après l’audit.


168 vues Visites

J'aime

  • audit de conformité logicielle
Retours aux actualités

Commentaires0

Devenez membre pour lire ou ajouter un commentaire

Articles suggérés

Articles

Dynamiser la collecte des feedbacks utilisateurs pour améliorer la valeur des projets et produits digitaux

photo de profil d'un membre

Atout DSI

26 novembre

Articles

Comment faire évoluer l’organisation d’une DSI pour innover ?

photo de profil d'un membre

Atout DSI

03 novembre

Articles

David Laniado DSI reporter aux Assises de la Cybersécurité 2020

photo de profil d'un membre

David Laniado

28 octobre

3