Victoria Barber Directrice de recherche, Gartner

 

En ces temps où les examens d’audit des éditeurs se multiplient, les gestionnaires des ressources logicielles qui élaborent une politique claire et cohérente minimiseront la responsabilité vis-à-vis de la conformité aux licences. La bonne observation de cette politique dans l’entreprise implique toutefois la prise en compte de plusieurs problématiques, tout en notant que les personnes chargées de rédiger la politique sont généralement des experts techniques plutôt que des experts en politiques, et ont donc rarement les compétences suffisantes pour rédiger les documents relatifs aux politiques.

UNE STRATÉGIE CLAIRE QUI MET L’ACCENT SUR LES RÉSULTATS OPÉRATIONNELS
Lorsque vous élaborez une structure de gouvernance pour la gestion des ressources logicielles (SAM, pour Software asset management), il est important de comprendre les éléments qui la composent et de l’élaborer avec soin. La politique de SAM définit les résultats requis et les principes sur lesquels la SAM repose, tout en fournissant une déclaration d’intention claire. Cette politique est ensuite étayée par des processus, des procédures et des instructions de  travail qui déterminent comment les objectifs de la politique seront atteints.
Plus précisément, Gartner définit la SAM comme une structure et un ensemble de processus qui permettent aux entreprises de suivre et gérer stratégiquement les aspects financiers, physiques, contractuels et de licence des ressources logicielles tout au long de leur cycle de vie. L’objectif de la SAM est ainsi de permettre un compte rendu fiable des risques et coûts des ressources logicielles, ce qui favorise le soutien par la direction des décisions liées au sourcing (approvisionnement), au financement, à l’architecture et à la stratégie en matière de logiciels.

S’APPUYER SUR LES ACTIONS EXISTANTES DANS L’ENTREPRISE
Les politiques les mieux appliquées sont celles qui sont concises et bien rédigées, évitant le jargon technique et les détails uniquement pertinents pour le personnel informatique.
Démarrez la mise en œuvre de votre politique de SAM en revoyant toutes les politiques existantes qui peuvent être pertinentes pour l’établissement du budget, l’acquisition, la mise à jour et l’utilisation des logiciels par rapport à votre liste de contrôle. Si une politique de SAM appropriée n’est pas encore en place, il peut être plus simple d’inclure les détails pertinents dans d’autres politiques organisationnelles, telles que l’utilisation de l’informatique ou la sécurité informatique.
L’utilisation de structures telles que la bibliothèque d’infrastructure informatique (ITIL), les objectifs de contrôle de l’information et des technologies associées (CobiT) et la norme ISO 27000 peut aider à identifier les parties prenantes et les éléments qui doivent être inclus dans la politique.
Ne pas négliger le fait qu’une politique sans mise en vigueur peut être pire que l’absence de politique. À cet effet, revoyez la politique disciplinaire de votre entreprise pour comprendre comment une éventuelle transgression de la politique de SAM (par exemple la présence de logiciels sans licences, piratés ou contrefaits) sera gérée. Ce travail gagne à être mené conjointement avec votre équipe en charge des ressources humaines.

MONTREZ LES RÉSULTATS REQUIS ET LES PRINCIPES SOUS-JACENTS SANS EXCÈS DE DÉTAILS 
Les entreprises ont du mal à répondre à un environnement qui ne cesse de changer, tout en jonglant avec les exigences des clients, les facteurs  économiques et les développements technologiques. Une nouvelle politique est censée rester pertinente, éventuellement avec des mises à jour mineures, pendant cinq ans. Une politique trop rigide peut être tout aussi problématique qu’une politique qui n’entraîne pas de contrôles suffisamment stricts. Par exemple, si vous avez une déclaration de politique qui stipule que tous les logiciels doivent être maintenus à la version actuelle ou antérieure (N-1) uniquement, sans exceptions, cela peut créer des problèmes en cas d’incompatibilité avec les autres applications qui interagissent avec ces logiciels.
L’adaptation aux changements inclut notamment l’adoption ou l’extension des technologies et pratiques existantes, telles que l’utilisation d’appareils personnels sur le lieu de travail, la virtualisation, le cloud computing et les offres en tant que service, ou l’anticipation du besoin de s’adapter aux technologies de rupture, telles que l’Internet des Objets, les machines intelligentes, l’intelligence artificielle et l’informatique bimodale. La politique doit également soutenir la gestion du risque numérique et l’éthique. De manière pratique, elle doit atteindre un équilibre prudent entre une quantité suffisante de détails pour guider les décisions et une flexibilité suffisante. Elle doit inclure la reconnaissance et la gestion de circonstances exceptionnelles, dans les limites d’acceptation des risques par le comité d’audit et la direction générale.

FAITES SIGNER LA POLITIQUE PUBLIÉE PAR LE PDG
La politique sera probablement plus efficace si elle est associée à une structure plus globale du risque opérationnel, qui porte déjà la validation et l’autorité à travers les unités opérationnelles.
En son absence, ou si cela n’est pas possible, il est conseillé de faire valider le document officiellement par un comité de direction (par exemple, un comité du risque composé de hauts dirigeants) avant l’approbation fi ale par le PDG ou un rôle équivalent. Cette approche garantit qu’aucun contre-argument crédible à son autorité ne peut être opposé. Une politique approuvée par le DSI peut en effet être remise en cause par d’autres dirigeants dans l’entreprise si elle n’a pas été mutuellement convenue. En revanche, les documents subordonnés, tels que les normes et les instructions, peuvent être approuvés par le DSI ou un rôle équivalent, car ils portent déjà l’autorité de la politique.

UN PLAN DE COMMUNICATION ADÉQUAT
Certaines meilleures pratiques suggèrent que les politiques de SAM doivent être signées manuellement par chaque employé, travailleur intérimaire ou prestataire individuel, le document signé étant conservé dans son dossier RH. En l’absence de cette mesure, communiquez sur une période de plusieurs semaines lors des mises à jour de la politique, pour vous assurer que les employés en ont connaissance.
Un plan de communication spécifique doit être mis en place pour les développeurs et le bureau de gestion des programmes, lorsqu’il y a une complexité supplémentaire à traiter ; par exemple, les logiciels de développement comportent généralement des modalités différentes des logiciels concédés sous licence pour les environnements de production.