La face cachée des audits des éditeurs de logiciels Le BSA défend la position des éditeurs

En cette période de forte tension économique, la pression des éditeurs en matière de conformité est souvent mal perçue par les entreprises. S'il est vrai que certains secteurs, notamment dans le bâtiment ou les bureaux d'étude industrielles, les TPE et PME oublient parfois volontairement de payer les licences très coûteuses de leurs outils, beaucoup de DSI de bonne foi voient d'un mauvais œil que tel ou tel éditeur leur envoie des recommandés et leur impose un audit de SI.

françois rey, président de la bsa en france, et également directeur conformité
François Rey, président de la BSA en France, et également directeur Conformité chez Microsoft. © BSA

François Rey, président de la BSA en France et également directeur Conformité chez Microsoft, se défend de promouvoir une politique purement répressive vis-à-vis des entreprises : "90% de l'action des éditeurs consiste à pousser à mettre en place une politique de gestion des actifs. Pour leur sécurité et pour une bonne gestion de leurs actifs, les entreprises devraient en effet mettre en place une démarche SAM (Software Asset Management), c'est-à-dire des processus, des hommes et des outils pour gérer au plus juste leurs licences logicielles."

Pour François Rey, les audits ne sont déclenchés qu'à l'issue d'une escalade dans des négociations commerciales qui n'aboutissent pas, à l'issue de plusieurs étapes juridiques franchies d'un côté ou de l'autre.

"Ce n'est que lorsque l'éditeur considère que sa propriété intellectuelle n'est pas respectée et que le client ne souhaite pas entendre raison malgré ses démarches, qu'il décide de lever les clauses d'audit du contrat", ajoute le président de la BSA. Selon lui, les courriers fréquemment envoyés par les éditeurs à leurs clients les appelant à vérifier leur parc de licences ne sont que des courriers de sensibilisation au problème, et en aucun cas des menaces. "C'est une confusion que j'essaie de lever, tant chez les clients que les partenaires des éditeurs. Ce sont des courriers de sensibilisation au risque, expliquant notamment qu'une PME sur cinq est victime de cybercriminalité. Chez Microsoft comme chez d'autres fournisseurs, les audits menés ne représentent qu'une faible proportion des démarches de sensibilisation à la gestion des actifs logiciels menées auprès de nos clients."

Le processus d'audit en question

Certains éditeurs se montrent néanmoins plus agressifs que d'autres. Oracle, qui réclamait 13,5 millions d'euros de régularisation de licences à l'Afpa a été récemment débouté par un juge. Oracle, encore, avait obtenu d'un juge de pouvoir mener un audit chez Carrefour, mais le distributeur a néanmoins obtenu de la justice que l'éditeur ne puisse pas exécuter des scripts de comptage de licences sur son système d'information, pour des raisons de sécurité informatique. 

jean sébastien mariez est avocat au sein du cabinet de gaulle, fleurance &
Jean Sébastien Mariez est avocat au sein du Cabinet De Gaulle, Fleurance & Associés. © Fleurance & Associés

Jean Sébastien Mariez, avocat au sein du cabinet De Gaulle, Fleurance & Associés, en charge des intérêts de la BSA en France détaille précisément le processus d'audit : "dans les premières étapes de l'audit est défini le cadrage, en commun accord avec l'entreprise. Le périmètre audité est clairement défini, de même que les informations que la DSI doit fournir. Clairement, cela ne va concerner que les actifs de l'éditeur qui a mandaté l'audit. L'auditeur va demander à l'entreprise de lui fournir par les moyens qu'il juge pertinents des informations sur ce qui est déployé."

Quant au risque lié à la confidentialité des informations, Jean Sébastien Mariez souligne : "les auditeurs sont des cabinets tels que KPMG, Ernst & Young ou Deloitte. Des cabinets qui regroupent des commissaires aux comptes, des experts comptables, des professions très règlementées qui ont des obligations très strictes, notamment en matière de confidentialité. Les auditeurs veillent à ce qu'il y ait une étanchéité quant aux données traitées. Les informations collectées par l'audit sont validées par l'entreprise et ne sont fournies à l'éditeur que dans le cadre des conclusions de l'audit."

Le cloud introduit un nouveau niveau de complexité

A l'heure de l'avènement du Software as a Service et du cloud, cette problématique de licences va-t-elle disparaître d'elle-même ? C'est loin d'être l'analyse de la BSA et des éditeurs. François Rey explique la position de l'alliance : "Le passage au cloud est loin de signifier la fin du piratage. Le modèle Saas n'est pas complètement sécurisé et on observe de nouvelles pratiques, comme l'usurpation de codes d'accès, le partage de codes entre utilisateurs. Ces pratiques créent de nouvelles problématiques pour les éditeurs de services."

Pire, l'essor du cloud fait apparaitre un nouveau niveau de complexité, avec des hébergeurs du cloud qui peuvent eux-aussi faire l'objet d'audit des éditeurs. Jean Sébastien Mariez souligne : "les hébergeurs d'applications cloud ne prévoient pas forcement de clauses d'audit dans leurs propres contrats, clauses qui vont leur permettre de répondre eux-mêmes aux clauses des éditeurs. Une absence qui les place aujourd'hui entre le marteau et l'enclume." Le bras de fer entre éditeurs et utilisateurs de logiciel n'est donc pas prêt de s'achever dans les DSI comme dans le cloud. 

Précédent
Suivant