Vers une normalisation des audits de licences ?

Certaines pratiques agressives des éditeurs irritent encore les DSI. Mais la plupart d’entre eux se sont aujourd’hui organisés pour y faire face, avec des méthodes, des outils et des ressources expertes en software asset management. Résultat, des campagnes d’audit mieux vécues et, surtout, une capacité désormais solide d’optimisation des budgets logiciels, qu’ils soient on-premise ou en mode SaaS.

Un audit de licences a pour objectif de vérifier qu’une entreprise cliente n’outrepasse pas ses droits d’utilisation, qu’elle ait acquis le produit ou qu’elle ait souscrit un abonnement. La pratique n’est pas nouvelle et a souvent défrayé la chronique judiciaire ces dernières années, avec par exemple des contentieux entre l’Afpa ou la DGAC et Oracle, ou entre le fabricant de spiritueux britannique Diageo et SAP. « Elle est parfaitement légitime de la part des éditeurs au regard des droits sur la propriété intellectuelle », tient à rappeler Benoît Plaine, directeur des opérations chez Elée qui conseille les entreprises lors de ces audits. La société a été créée par un ancien DSI de BNP-Paribas qui avait vécu les premières vagues d’audits agressifs des éditeurs américains dans les années 2000.

Agressifs ? C’est que, au-delà du droit de les mener, la manière pose parfois problème. Il y a souvent des pièges tendus, avec des politiques de licensing mouvantes qui n’ont d’autre but que de mettre le client en faute. Et comme l’écrit le cabinet d’avocats Mathias sur son blog : « Le but de l’éditeur, au-delà de contrôler le respect du contrat, est de se voir indemnisé pour les utilisations non autorisées de ses logiciels. L’audit de licences peut représenter une manne financière importante. »

---

Bien réagir à un audit

Au moment de la notification de l’audit

Bonne réaction

• informer les dirigeants
• mettre l’équipe ad hoc en place 
• communiquer en interne 
• identifier les deals en cours

Mauvaise réaction

• réagir trop rapidement 
• ne pas demander d’informations à l’éditeur 
• faire la sourde oreille 
• minimiser l’information

---

Des clauses d’audit incluses dans le contrat initial

Pour cela, le contrat signé avec l’éditeur stipule en général la possibilité de ces audits, leur fréquence maximale et les moyens mis en œuvre pour les mener. Le plus souvent, il s’agira d’exécuter sur les serveurs un script imposé par l’éditeur. Plus rarement, celui-ci propose de récupérer des données d’utilisation qui sont remontées vers une plateforme chargée de leur analyse. Il peut y avoir aussi des visites sur site et des contrôles « manuels ». Enfin, avec l’apparition des éditeurs full-SaaS, la pratique des audits en temps réel a fait son apparition.

Il est inutile d’espérer que les éditeurs vous oublieront. Selon IDC, près de deux entreprises sur trois ont été auditées par au moins un de leurs fournisseurs de logiciels au cours des 18 à 24 derniers mois. Et la fréquence est encore plus élevée pour les grands comptes. Par ailleurs, le cabinet d’étude estime à seulement 15 % le taux d’entreprises qui, dans le monde, auraient une utilisation de leurs logiciels conforme aux contrats correspondants.

Certes, ces deux études datent d’une dizaine d’années, mais malgré l’absence de nouvelles statistiques, on peut tout de même extrapoler que ces ratios n’ont guère évolué favorablement. D’autant plus que, depuis dix ans, la complexité des contrats de licence s’est encore accrue. Les éditeurs font flèche de tout bois et ne manquent pas d’imagination. À ce sujet, Éléonore Varet, directrice générale de la filiale française d’USU (ex-Aspera), un éditeur allemand de SAM (software asset management), ne manque pas de rappeler le cas de Java, dont le propriétaire Oracle a changé les règles il y a quelques années : « Comme ils étaient dans l’incapacité technique de mesurer exactement les utilisations dans les entreprises, ils ont décidé de calculer les redevances dues sur la base du nombre de salariés. Ce qui fait qu’une DSI qui utiliserait très peu Java peut tout de même voir arriver des factures très importantes. »

Peu de chances d’être en règle lors d’un audit

Quand bien même la DSI fait les choses en règle, d’autres situations créent les conditions d’une non-conformité. La plus courante est le rachat d’un éditeur par un autre, qui applique de nouvelles règles de facturation. « Il y a des acteurs qui achètent des parcs installés avec comme objectif de se rémunérer sur des augmentations de tarifs, associées à des campagnes d’audit agressives », affirme ainsi Damien Hauguel, directeur marketing, commerce et partenariats chez Elée. Il cite le cas d’HCL Technologies rachetant Lotus et Domino, ou d’OpenText avec Micro Focus : « Lorsque de telles acquisitions se produisent, on se doute bien que ce n’est pas pour faire évoluer le produit. » S’ajoute à cela la volonté marquée de nombreux éditeurs d’emmener leur base installée vers des offres SaaS. La pratique des audits prend alors une autre direction. Il s’agit de proposer aux clients pris en défaut de régler à l’amiable la situation en souscrivant à une offre dans le cloud. Et ce n’est pas bien difficile de créer cette situation : « Les vulnérabilités les plus courantes par rapport à la conformité sont connues. Les fournisseurs les recherchent en priorité », confirme Benoît Plaine, qui affirme en passant qu’il « n’a pourtant jamais vu de DSI qui trichait sciemment sur les licences ».

Les consultants d’Elée ne sont pas avares d’anecdotes non plus sur les nouvelles – mauvaises – manières des éditeurs. « L’un d’entre eux, sur la seule foi de slides vus par une commerciale lors d’une réunion de travail avec des membres de la DSI, a adressé directement une demande de paiement de pénalités à l’entreprise. Celle-ci a contesté et gagné », raconte Benoît Plaine. Preuve qu’il ne faut pas se laisser impressionner ? Les avocats appelés à la rescousse, lorsque la direction juridique – parfois peu à l’aise avec les contrats de licence – ou la DSI manquent de temps, commencent en tout cas toujours par regarder le contrat et ce qu’il dit des audits autorisés ou non. « Il est parfois possible de contester la légitimité même de l’audit », assure Betty Sfez, avocate au sein du cabinet June. Et de rappeler tout ce qu’il conviendrait de faire lors de la signature d’un contrat : « Encadrer le contrôle par l’éditeur des conditions d’utilisation des logiciels en intégrant des clauses d’audit exemptes de toute ambiguïté (…) ; négocier l’insertion de clauses d’ajustement, par exemple pour permettre des déclarations sur l’honneur semestrielle ou annuelle déterminant le nombre exact de licences utilisées et l’ajustement du contrat et des redevances versées en conséquence ; négocier une gestion flexible des licences (…) »

Des audits à blanc pour se préparer

Tel un contrôle fiscal mené par l’administration, un audit est parfois lancé sur la base de signaux faibles reçus – voire traqués – par l’éditeur. Parmi les déclencheurs potentiels figurent le brusque arrêt d’un contrat de maintenance, les opérations de carve-in/carve-out ou encore l’absence de lancement de nouveaux projets… Vigilance renforcée, donc, à ces occasions. Pour autant, la DSI doit toujours être prête à l’éventualité d’un audit, avec les moyens techniques et humains ad hoc, notamment pour éviter que la procédure s’éternise. « Cela crée des situations de désordre dans les entreprises, qui n’ont pas toujours les moyens de suivre tout cela », souligne Benoît Plaine. Il y a également de nombreuses erreurs à éviter, par exemple en sensibilisant les équipes à ne pas communiquer à tort et à travers avec les représentants de l’éditeur. C’est aussi le plus souvent après un audit plus ou moins bien vécu que se posent les questions fondamentales de gouvernance de la politique de licences, définissant des objectifs et des responsabilités qui peuvent aller jusqu’à viser une réduction des dépenses en logiciels. Pour cela il faut des outils, dont les solutions de SAM (USU, Flexera, Snow Software, ServiceNow, etc.) qui sont aujourd’hui fréquemment utilisées, au moins dans les plus grands comptes. « Ce n’est plus un outil “nice-to-have”, explique ainsi Éléonore Varlet. Désormais, nous avons un sponsorship au plus haut niveau dans les DSI. »

Ces solutions apportent d’abord une automatisation de l’exécution à blanc des scripts de nombreux éditeurs, ce qui permet à l’entreprise de tester en temps réel et en toute confidentialité son niveau de conformité. « Nous faisons des inventaires en relation avec ce que demandent les audits, mais nous collectons aussi des données sur la véritable utilisation des logiciels. Après, la remédiation peut consister à supprimer des comptes, à en ré-allouer d’autres, et finalement à rationaliser le portefeuille applicatif. Tous nos clients ont trouvé matière à optimiser leurs dépenses de logiciels, ne serait-ce qu’en jouant sur les niveaux d’utilisation. » Éléonore Varet avance même des ratios d’économies de l’ordre de 30 % sur les licences, reconnaissant d’ailleurs au passage que si un audit mal vécu peut être à l’origine de l’intérêt de l’entreprise pour le SAM, c’est bien l’explosion du coût du logiciel qui nourrit aujourd’hui son succès. « Il y a moins d’audits qu’il y a quelques années, car certains éditeurs ont constaté une dégradation de leur image après des campagnes trop agressives, notamment avec des contentieux médiatisés. Les produits de SAM sont aussi des alliés dans la lutte contre la shadow IT, une problématique de plus en plus abordée en Comex, à la fois pour des questions de coûts mais aussi, et de plus en plus, pour des raisons de sécurité. »

Prévenir et guérir ensemble

Il est plus facile d’être prêt le jour J si on a anticipé les risques de non-conformité : « Il est beaucoup plus facile de venir, en mode préventif, expliquer à un dirigeant un risque de pénalités et de le convaincre d’investir pour le réduire, que de lui présenter une facture salée après un audit surprise », prévient la responsable d’USU. Une facture qui, selon Benoît Plaine, peut aller jusqu’à multiplier par 10 le coût d’un logiciel (voir ci dessous).

Et si infraction il y a, DSI, juristes et acheteurs devront agir de concert au moment de négocier le montant des pénalités. De plus en plus rarement, la procédure se poursuit devant les tribunaux, faute d’accord. « Il y a de moins en moins de contentieux, confirme Betty Sfez. Et ceci, même quand les deux parties ne se mettent pas d’accord sur le fond, comme cela a pu être le cas récemment dans des affaires où Microsoft contestait la validité de certaines acquisitions de logiciels d’occasion. »

Un contre-pouvoir grâce aux groupes d’utilisateurs

On ne le dira jamais assez : le rôle des clubs utilisateurs est ici aussi essentiel. L’USF montre souvent la voie face à SAP (voir encadré). De son côté, le Cigref a notamment produit des livres blancs sur les achats de licences et les audits (avec Elée). Et il se mobilise régulièrement contre les campagnes d’audits jugées trop agressives : c’est le cas actuellement suite au rachat de VMware par Broadcom. L’apport de ces organisations réside notamment dans leur capacité à faire évoluer les politiques des éditeurs sur le fond.

Ne rêvons pas, cependant : il n’y aura pas de disparition des audits. Même la vague actuelle du SaaS ne résout pas la situation. On aurait pu croire qu’avec les souscriptions négociées en nombre et avec la possibilité de contrôle par l’éditeur en temps réel des utilisations réelles de son produit, le paysage s’éclaircirait définitivement. Il n’en est rien. La volonté de vendre toujours plus de ce dernier fait qu’il autorise souvent des dépassements d’utilisation et, surtout, omet d’intégrer dans sa plateforme de contrôle des accès les limitations d’usage inscrites au contrat, créant ainsi les conditions d’une non-conformité presque inévitable de ses clients.

Mais comme à quelque chose souvent malheur est bon, on peut tout de même se réjouir de voir de plus en plus d’entreprises industrialiser leur gestion des assets logiciels. Certes, la démarche a un coût, que Benoît Plaine estime entre 3 et 4 % du montant total des dépenses en software de la DSI, ce qui inclut les ressources internes, les conseils externes et les outils. Il voit aussi les équipes de SAM se rapprocher des équipes FinOps, et les achats mieux dialoguer avec le juridique et la DSI. Finalement, à force de campagnes agressives, les éditeurs ont forcé leurs clients à chercher des solutions pour limiter non seulement les pénalités consécutives aux audits, mais aussi, et pour des montants bien plus importants, leur facture logicielle globale. L’arroseur arrosé en quelque sorte… 

---

Quand l’USF et le Sugen font changer la politique d’audit de SAP

Gianmaria Perancin, président de l’USF et du Sugen, et Mathilde Fleury, présidente de la commission « Contrats, Licensing et Audits » de l’USF

« La question des audits est ancienne pour le club. Nous avons travaillé il y a déjà plus de dix ans avec le Cigref pour parvenir à définir une charte de bonne conduite », se souvient Gianmaria Perancin, président de l’USF (association des utilisateurs francophones de SAP) et du Sugen (SAP user group executives network, sa déclinaison au niveau mondial). « La situation est devenue explosive lorsque des désaccords sont apparus sur les accès indirects, que l’éditeur prétendait faire payer très cher. »

Les adhérents vivaient également très mal que les audits soient diligentés par les filiales commerciales, avec d’inévitables chasses aux revenus supplémentaires. « Avec le Sugen, nous avons obtenu de l’éditeur qu’il sépare totalement les deux fonctions. Aujourd’hui, les auditeurs sont dans une division indépendante et agissent sur leur propre initiative. Ils tiennent informés les filiales des résultats des audits, c’est tout. »

L’USF a créé une commission « Contrats, Licencing & Audits », que Mathilde Fleury, ancienne consultante d’Elée, préside aujourd’hui. Elle constate que « les outils SAM se généralisent aujourd’hui chez les adhérents ». Une nécessité alors que l’offre SaaS Rise de l’éditeur monte en puissance ? « En tout cas, les avant-vente de SAP ne ménagent pas leurs efforts pour venir expliquer sa politique de licensing en commission, où ils trouvent un auditoire très attentif », explique-t-elle. Preuve que le dialogue, parfois ferme, entre un club d’utilisateurs et un fournisseur peut s’avérer constructif.