Audit des licences de logiciels : comment éviter une note salée et les lourdes conséquences d’un défaut de conformité

Administrer un parc logiciel traditionnel n’a rien d’une tâche aisée. Et la virtualisation, en estompant le lien entre le matériel et le logiciel, n’a pas arrangé les choses.

Aux risques de sécurité, aux dépenses inutiles, s’ajoute le fait que les entreprises incapables de gérer leur parc logiciel s’exposent aux conséquences d’une non-conformité avérée en cas d’audit. Il faut donc élaborer des stratégies de gestion des licences et s’astreindre à suivre les bonnes pratiques en la matière.
A mesure que les entreprises se développent, les services IT ont de plus en plus de mal à faire l’inventaire précis des actifs logiciels utilisés et à assurer le suivi des licences. Les packs logiciels s’accompagnent le plus souvent de structures de licence complexes et les logiciels se déclinent sous des noms différents, avec des numéros de versions différents, ce qui complique la gestion des licences et le suivi de leur utilisation.
Les changements qui s’opèrent, que ce soient via des fusions, des acquisitions ou l’interruption du support de produits en fin de vie, font que les entreprises peinent à maîtriser leurs coûts de support et à appliquer correctement des politiques de mise en conformité.
Et en plus des difficultés à maintenir la conformité des parcs de systèmes traditionnels, la tendance actuelle à la virtualisation vient compliquer encore les choses. Comment s’assurer de la conformité systématique des licences quand plusieurs systèmes d’exploitation virtuels tournent sur la même infrastructure matérielle et qu’un utilisateur travaille en mode Windows sur un Mac et en mode XP sur Windows 7 ?
La tâche en est rendue bien plus complexe et en devient d’autant plus essentielle.
La prolifération des logiciels et l’absence d’outil fiable pour les inventorier conduisent les entreprises à procéder par approximation, avec le risque de dépenses superflues dans des licences non utilisées ou de défaut de conformité et donc de sanctions et de pénalités coûteuses pour avoir utilisé plus d’instances de logiciels que de licences officielles. Selon une étude d’IDC, 38 % des entreprises sondées reconnaissaient qu’au moins 11% de leur budget alloué aux applications correspondaient à des utilisations non conformes, et dans 56% des entreprises au moins 11% du budget des applications partaient en dépenses pour des logiciels non utilisés.
Les logiciels sont protégés par des lois de copyright qui interdisent le piratage, la reproduction en dehors des copies autorisées et la distribution de copies non autorisées. Les entreprises s’engagent à respecter ces lois de protection des droits d’auteur et, à défaut, elles sont tenues responsables en cas de poursuites. Les grands groupes sont davantage exposés aux audits de conformité de leurs licences de logiciels du fait de leur taille et aussi parce qu’il leur est plus difficile d’inventorier les utilisations qui sont faites. Et quand bien même de nombreuses entreprises déploient des outils de suivi de la conformité des licences de logiciels, ceux-ci sont souvent complexes et conçus pour les plus grands groupes. Les plus petites structures sont donc plus exposées encore.
La BSA (Business Software Alliance), spécialiste des audits de logiciels, confirme que leur nombre augmente chaque année. La virtualisation des systèmes, la prolifération des packs logiciels et la multiplication des fusions d’entreprises rendent difficile la réalisation d’un audit complet.
Les éditeurs de logiciels l’ont compris et ils multiplient les audits.
Un petit écart vis-à-vis d’une licence peut sembler mineur dans la liste des priorités de conformité IT d’une entreprise, pourtant une méprise aussi minime soit-elle peut se chiffrer en milliers de dollars pour l’entreprise contrôlée et coûter son emploi à l’employé fautif. Accidentelle ou délibérée, la non conformité a de lourdes conséquences, car les entreprises sont généralement condamnées à une pénalité financière et doivent en plus acheter les licences manquantes au prix fort. D’où l’importance critique pour les entreprises de se doter d’un système de reporting ultra fiable et précis qui  tient à jour les comptes des actifs logiciels, pour éviter les gaspillages dans des logiciels inutiles, mais aussi pour se prémunir contre les lourdes amendes pour défaut de conformité.
Alors, comment faire pour se maintenir en conformité et ne pas faire exploser le budget des licences de logiciels ? Il est recommandé d’élaborer des stratégies de gestion des licences en interne qui permettent de tenir l’inventaire à jour, pour ne pas payer pour des logiciels qui ne sont pas utilisés et pour observer les lois de protection des droits d’auteur. Ensuite, les bonnes pratiques ci-dessous assorties d’une bonne préparation peuvent aider votre entreprise à optimiser sa gestion des licences et être prête en cas d’audit :

1. Des processus fiables de gestion des actifs logiciels

Ces processus doivent vous permettre de tenir à jour l’inventaire des logiciels, des licences et de l’utilisation qui en est faite, pour éviter les gaspillages et assurer la mise en conformité systématique. Pour donner des résultats satisfaisants, ces processus doivent s’interfacer avec une base de données des applications les plus couramment utilisées, avec les différents noms et numéros de versions, les détails des achats, et des infos décisionnelles concernant le marché. Il est recommandé de prévoir l’association automatique des versions au pack parent.

2. La collecte automatisée des données

Les informations collectées par la procédure automatisée de gestion et de suivi des licences des logiciels, numéros de versions compris, doivent être stockées dans un référentiel central de façon à savoir exactement quels logiciels sont installés sur quelles machines du réseau. La comptabilité automatique donne un point de vue juste des logiciels utilisés et permet aux administrateurs IT de mieux connaître les besoins en fonction des applications effectivement déployées pour faciliter la conformité vis-à-vis des contrats de licence.

3. La revue de l’utilisation des logiciels

Les entreprises font des achats groupés de licences et une portion parfois importante des logiciels est sous-employée ou non utilisée faute d’un suivi juste et précis de l’utilisation effective. Un tel suivi permettrait de réaliser des économies en allouant différemment les actifs logiciels sous-employés ou inutilisés.
Un effet collatéral de l’incapacité à suivre précisément les licences et l’utilisation qui est faite des logiciels est la possibilité qu’un malware s’infiltre sur votre système via un logiciel non autorisé, ni supporté par l’IT. C’est toute l’infrastructure IT d’une entreprise qui est alors exposée.
Et ce préjudice vient s’ajouter aux millions de dollars que les organisations perdent chaque année pour cause de défaut de conformité et de gaspillages dans des logiciels inutilisés ou sous-utilisés.
Si les entreprises sont plutôt d’avis de se conformer aux lois sur le copyright des logiciels, il leur manque les bons outils pour se mettre en conformité et elles restent alors exposées aux risques de litige, de violation de leur sécurité et à de lourdes pénalités. A l’inverse, les entreprises qui inventorient précisément leurs licences et qui suivent l’utilisation qui est faite des logiciels gagnent en efficacité et réalisent des économies en étant conformes et en optimisant leurs pratiques.

Virtualisation / Malware