Un rapport du Cigref l’a une nouvelle fois signalé au printemps. Les rapports avec les grands éditeurs sont loin d’être au beau fixe. Maîtriser les risques et contrôler les coûts devient toujours plus nécessaire. Les moyens de mieux négocier existent.

Sans surprise, les risques, ou les causes d’achoppement majeures du rapport du Cigref concernent très majoritairement Oracle, SAP, Microsoft, IBM et, plus récemment, Salesforce. Les fournisseurs de cloud, notamment AWS, commencent aussi à poser question au moment de la facture (voir IT For Business 2240). Sans oublier le risque des audits. « Ils ont donné lieu à une vague menée par les grands éditeurs dans les années 2010- 2012. À la fois pour pallier les conséquences de la crise financière de 2008, et pour financer le passage sur le cloud, sur un modèle de souscription », rappelle Benoît Plaine, directeur des opérations chez Elee, une société spécialisée dans le conseil et l’accompagnement dans tout ce qui touche la gestion des licences. Si Microsoft, notamment, a réussi ce passage dans le cloud, les autres sont restés sur du « licensing » plus classique. Conséquence, les problématiques à gérer avec l’éditeur sont surtout liées aux nouveaux modèles de commercialisation. Tandis que pour les autres, les questions portent plus sur les audits. IBM mérite une attention particulière en ce moment de par la cession à l’indien HCL d’une bonne partie de ses logiciels.

Des enjeux financiers conséquents

Chez Microsoft, les audits, aujourd’hui peu fréquents ne sont pas ou peu une source de revenus. David Morin, Solutions Sales Specialist License Consulting Services d’Insight, confirme : « Les audits sont lancés seulement quand toute négociation commerciale est bloquée ».
Pour Benoît Plaine d’Elee, si ces contrôles restent relativement rares, ils correspondent à des « inducteurs » : « Quand le chiffre d’affaires d’un client baisse notablement dans la durée, quand celui-ci n’est pas friand des dernières gammes de produits, Azure par exemple, quand il réduit sa maintenance… »
Les audits deviennent alors un des moyens de pression de l’éditeur. Par contre, les renégociations, pour des durées contractuelles de trois ans dans la plupart des cas, sont souvent tendues. « Les nouveaux contrats représentent souvent une augmentation annoncée de 40, voire 50 %, qui se conclut souvent après négociations avec une augmentation moindre, mais souvent à 2 chiffres. Alors que, pour le DSI, les usages n’ont pas changé, souligne Benoît Plaine. L’éditeur justifie ces augmentations par l’enrichissement des solutions ».
Même l’existant pose question. « Je n’ai jamais vu d’entreprises où le taux d’utilisation sur les trois derniers mois de Visio et Project dépassait 60 % », illustre Nicolas Rousseau, consultant spécialisé chez Flexera. Microsoft en profite aussi pour proposer des solutions plus étendues, des suites, qui mordent souvent sur l’existant d’autres éditeurs.
Autre complexité pour l’acheteur et la DSI, si la tarification côté desktop reste compréhensible, elle s’est largement compliquée pour les produits d’infrastructure et le cloud, en particulier avec la virtualisation. Tarifée à l’usage, « il reste difficile de suivre l’utilisation et les mouvements des VM dans les clusters. Conséquence, une partie des clients préfèrent se couvrir en achetant des licences “datacenter” pour leurs serveurs de virtualisation ESX pour un coût très supérieur », détaille Nicolas Rousseau.

Côté IBM, la donne est différente. Big Blue a vendu à l’indien HCL une partie de son portefeuille logiciel, DB2, Domino…, des outils encore installés dans de nombreuses organisations. Suite à cette vente, pas encore finalisée, « l’intensité des audits n’a pas baissé », juge Benoît Plaine d’Elee. Les causes sont multiples. Pour tenir leurs objectifs de chiffres d’affaires avec des produits vieillissants pour la plupart, la tentation pour les commerciaux d’IBM de lancer des audits est séduisante. D’autant qu’ils ont de bonnes chances de prendre les entreprises en tort. À partir d’une tarification en fonction de l’usage et de la puissance des machines, le licensing est d’une complexité redoutable, qui fait le bonheur des spécialistes du Software Asset Management. Pour tarifer ses produits « serveurs », « IBM demande de produire un état décrivant la consommation des coeurs et les pics depuis les trois derniers mois par produit. Il impose aussi d’archiver ces données pendant deux ans. Point complexe parmi d’autres, avec la virtualisation, le nombre de coeurs utilisés est très variable, explique Nicolas Rousseau. De plus, l’utilisation d’un produit en implique souvent d’autres, DB2 avec Websphere, par exemple ».
Big Blue utilise une matrice comportant 100 produits par 100 produits, soit 10 000 combinaisons possibles. Au final, le calcul de la Processor Value Unit, l’unité servant de base à la tarification, « devient un cauchemar, résume Nicolas Rousseau, que même les commerciaux d’IBM ne maîtrisent plus ». Lors d’un audit, les risques ne se limitent pas à l’utilisation. « IBM exige contractuellement une homogénéité pour la maintenance sur les PVU, rappelle Benoît Plaine. Exemple, si l’acquisition d’une entreprise a abouti à une partie du parc de produits IBM incluant la maintenance et une autre non, l’éditeur demande une mise à niveau pour l’ensemble ». Autre risque, le passage dans l’offre de HCL risque de soulever certaines questions sensibles comme les règles de conversion mises en oeuvre par le nouveau propriétaire, entre processeur et coeur notamment. Dans tous ces cas, les risques légaux comme les enjeux financiers peuvent devenir conséquents.

S’outiller et (re)constituer sa base achat

Mettre en place des leviers pour négocier implique de travailler sur de nombreux plans.

Première étape, inventorier le parc installé et l’utilisation réelle des outils. Cet inventaire suppose d’abord de s’outiller avec une solution du marché, Ivanti, Flexera, Snow Software, etc., ou des solutions open source. Une étape qui passe par le support de la DSI pour être efficace dans la plupart des cas.
La démarche ne s’arrête pas là. Microsoft accepte les rapports générés par la plupart de ces outils et, bien sûr, le sien, SCCM System Center Configuration Manager. « Souvent, les entreprises ne comprennent pas les données brutes générées par cet outil. Leur interprétation donne une idée réaliste de ce qui est installé et de l’utilisation réelle. Des leviers utiles pour négocier », insiste Benoît Plaine.
Il est également utile de développer ses propres scripts ou de faire appel à des spécialistes dans le même but. « Par exemple, un script de quelques centaines de lignes de SQL permet de suivre l’utilisation et les mouvements des VM et la manière optimale de les licencier », illustre Nicolas Rousseau.

Parallèlement, cet existant doit être consolidé avec les contrats, une phase qui peut s’avérer particulièrement complexe. « Une véritable architecture contractuelle qui peut comprendre jusqu’à 6 ou 7 niveaux dans les grands groupes : contrat chapeau, contrat entreprise, contrat de mise en oeuvre, annexes cloud, etc. », détaille Benoît Plaine. Le but est de reconstituer une base achat de l’existant en prenant en compte les évolutions de l’offre comme les changements de nom des produits, « À partir de 4 transactions sur un produit, la licence et les 3 années de maintenance, une ligne produit est créée », illustre Benoît Plaine. Et de croiser celle-ci avec les contrats et les utilisations. Une démarche nécessaire qui impose aussi de comprendre le vocabulaire de Microsoft : CAL, EA, SCE, etc.
Démarche similaire pour se préparer aux audits IBM, menés par l’éditeur ou par des ESN. La mise à plat des contrats peut là aussi s’avérer complexe. « La plupart des grandes entreprises ont conclu des passeports Advantage avec IBM. Et, dans.ce cadre, des offres de type bundle sont courantes. Du DB2 concédé à usage restreint avec du Websphere Application Server Network Deployment acheté par exemple », illustre Benoît Plaine.
La connaissance détaillée de cet historique permet de mieux négocier. « Par exemple pour limiter une non-conformité d’usage sur un produit, parce que celui-ci a été acquis par une filiale dans le cadre d’un bundle », détaille Benoît Plaine.

Autre point sensible, limiter les risques de non-conformité : homogénéiser les contrats de maintenance par entité. « Par exemple, pour le middleware Websphere Datastage, IBM exige de payer autant d’unités de maintenance que de PVU utilisées sur une entité ».

La préparation doit aussi porter sur les usages. Ce recensement permet en théorie de mieux calculer la conformité, et de mieux maîtriser, ou au moins circonscrire, le risque financier. Quand audit il y a, IBM de son côté n’accepte a priori que les rapports fournis par son outil ILMT. « Qui n’est plus vraiment sa propriété puisqu’il est tombé dans l’escarcelle d’HCL », souligne David Morin d’Insight.
Un moyen pour l’entreprise auditée de refuser cet outil et de rééquilibrer le rapport? Peut-être. Mais la réaction première de demander à l’éditeur de préciser le périmètre produit et géographique de l’audit est utile, ainsi que la transparence des scripts d’ILMT. Ne pas accepter l’exécution des scripts sur son SI pour des raisons de sécurité sans en connaître le détail est légitime.

Passer toutes ces étapes, reste la négociation. Au final, et quel que soit l’éditeur, une vision consolidée de l’existant contractuel et des usages est indispensable pour arriver mieux armé à la table des négociations. Une démarche qui suppose des experts, externes ou internes. Plusieurs grandes entreprises ont créé des postes spécifiques dédiés à la gestion d’un seul éditeur.

TEMOIGNAGE : DES PROCESS POUR MIEUX CONTRÔLER

Responsable de la gouvernance, des aspects budgétaires et de la compliance des applications logicielles chez Ingenico, Benjamin Rouillier décrit : « Notre SI repose largement sur les technologies de Microsoft, qui équipe l’infrastructure d’entreprise et en moindre partie certaines infrastructures de production (plateformes de paiement). Nous utilisons également Office 365 pour la bureautique. Un contrôle fin est mis en place afin d’adapter au mieux les achats avec les besoins à court et moyen termes et optimiser l’empreinte financière de l’éditeur en continu ». Un défi particulièrement difficile pour cette société qui croît par acquisitions : « L’alignement rapide de ces nouveaux entrants sur le SI interne de l’entreprise est déterminant et il est nécessaire de faire preuve de pédagogie pour faciliter l’intégration sur le volet de la conformité ».
Première facette de ce contrôle, la déclinaison d’une organisation locale dédiée et le transfert des processus et des moyens de mesure destinés à mettre sous contrôle le suivi financier. « Nous construisons aujourd’hui un catalogue intégrant des services spécifiques en fonction de la maturité des organisations entrantes sur les processus de compliance. Ceux-ci nous permettent de mettre à jour le patrimoine de licences dans notre base d’assets », décrit Benjamin Rouillier.
Sur le plan des usages, Microsoft demande contractuellement un état des lieux annuel. « Nous utilisons des outils développés en interne et suivons l’évolution des usages sur les hosts physiques ou virtuels (VM) », détaille Benjamin Rouillier. Ingenico a de plus négocié avec l’éditeur de Redmond pour adapter le coût. « Le but est de mobiliser les licences adaptées et nécessaires tout en évitant le sur-licensing, donc pas forcément des licences MS Datacenter, ajoute notre interlocuteur, et d’être force de proposition pour les optimisations dès lors que les conditions requises sont remplies. Ce but ne peut être atteint que grâce à un suivi fin des infrastructures ».
Pour la bureautique, tarifée à l’utilisateur, la démarche est différente : « Microsoft incite les entreprises à s’équiper avec un workspace sans cesse plus riche. Notre démarche a consisté tout d’abord à ne retenir que les produits dont l’utilisation était pressentie sur la durée du contrat. Ensuite, nous travaillons également à responsabiliser les métiers et les utilisateurs à travers une communication régulière, un processus d’approbation par le manager et une refacturation à la licence ».
Au final, la mise en place d’un ensemble de bonnes pratiques et de process, « qui s’inscrit dans une dynamique d’amélioration continue », conclut Benjamin Rouillier.