Audits de Conformité Logicielle Nicolas COURAUD Secrétaire Général du CRAI Couraud.nicolas@crai-asso.fr
Association de Loi 1901 - Janvier 2012 Directions achats et juridiques + de 50 sociétés 300 personnes Partenaires stratégiques Groupes de travail Audits de conformité logicielle Licensing et Maintenance Achat des Prestations Intellectuelles Open Source (collaboration avec le CRIP) Cloud computing (collaboration avec le CRIP) Topologie des Services Achats (collaboration avec le CIGREF) Le CRAI
Audit de Conformité Logicielle Un groupe de travail dédié De nombreux participants: ACCOR, ADP GSI, BNP PARIBAS, EDF, EULER HERMES, LA BANQUE POSTALE, LVMH, ORANGE FRANCE TELECOM, POLE EMPLOI, PSA, RHODIA, SNCF, SOCIETE GENERALE, STIME, SYSTALIANS, VOLVO IT + d une douzaine de séance de travail Richesse des Retours d expérience Eclairage Juridique important Livre Blanc Crip-asso.fr BeeCRAI (pour les acheteurs)
Les Objectifs du GT et du LB Echanger sur les expériences de chacun Comprendre les différentes formes d audit et les mécanismes mis en œuvre par les éditeurs / fournisseurs. Comment traiter efficacement une demande d audit? Les droits et les limites des différentes parties La gouvernance et la gestion des Assets Logicielles Le rôle et le positionnement de chacun dans l organisation du «projet audit» La méthodologie et les bonnes pratiques La réconciliation des données Les leviers de négociation Check-list
Les Audits: un nouvel Business Model? Augmentation très sensible Grands et petits éditeurs Compensation des baisses de revenus Stagnation du marché (crise financière) Achats de licences (rationalisation, cloud,...) Maintenance Déclenchement => volume et CA réalisé Échéance / changement de contrat (non reconduction) Décommissionnement ou arrêt de support
Les Audits: un nouvel Business Model? Sanctions financières importantes? Complexité des contrats de licences géométrie variable? Evolution des règles de comptage Téléchargement et absence de clés de licence Absence partielle ou total de SAM Calcul des arriérés / prix catalogue Maintenance associée Pénalités Tendance haussière!
Vu de l éditeur Source de revenus supplémentaires Rapide et conséquent Service de «Compliance au niveau Corporate» Utilisation d un cabinet externe OBJECTIF: obtenir un paiement le plus rapidement possible DANGER: détérioration de la relation commerciale La Compliance Approche Démarrer l audit par un inventaire Analyser les écarts réels ou interprétés Valoriser financièrement le delta sur une base d une liste de prix publique Appliquer une maintenance rétroactive Appliquer une pénalité avec un taux d intérêt non négligeable Rentrer dans une phase de négociation active avec le client
La Compliance Vu du Client Démarche contraignante voire «inamicale» Risque financier important (maîtrise du parc) Rarement provisionné Souvent reconnue fondée: l éditeur défend sa PI Démarche sérieuse => impacts financiers, contentieux, judiciaire CHRONOPHAGE CONTRAINTE DE TEMPS IMPOSEE PAR LE FOURNISSEUR! NE PAS SE PRECIPITER!... Le temps est souvent favorable au Client!
Les Fondamentaux: Clause d Audit La charge de la preuve de la sur-utilisation incombe à l éditeur Audit: pré-constitution d une «preuve» La contrefaçon est une procédure pénale (dans les fait: le Civil) Sauf article spécifique: pas de limitation sur le nombre d années antérieures La Clause d Audit Pas de disposition de loi: «contractuelle» Indispensable au sein des contrats de licence Souvent imposée par le fournisseur Régie le déroulement de l audit Absence de clause: le Client peut refuser l audit.!!! Tribunaux!!! Bonnes pratiques Revue très en amont des contrats Discussion en amont Implication du service juridique Imposition par le Client Au sein de l appel d offre (juridique, processus,...) Encadrement de l audit Couts d achat en cas de sur-utilisation
Les Fondamentaux: URLs Contrats comportant des renvois vers des URLs Disposition légale Documents contractuels Définition des «métriques» Variation dans le temps Bonnes pratiques Editer le contenu des URLs et annexer ces documents au contrat signés des deux parties Ne pas accepter la clause mentionnant que le contenu des URLs est susceptible d évoluer sans information du Client
Les Fondamentaux: Téléchargement Licences Licences directement téléchargeables sur le site éditeur Acceptation du contrat de licence Possibilité de faire prévaloir le «contrat chapeau» Possibilité de remettre en cause la signature «électronique» Bonnes pratiques Faire attention au préambule du contrat (hiérarchisation des différents contrats) Le contrat «chapeau» doit prévaloir sur les annexes Lister dans le contrat principal les dispositions non modifiables Caper les évolutions possibles
Obligation de conseil de l éditeur Le fournisseur est soumis à l obligation de conseil Argument auprès des tribunaux Le «défaut de conseil» à un réel poids / tribunal Bonnes pratiques Insister sur la «non-expertise» du client par rapport à l éditeur du logiciel dans le préambule des contrats Limite Société rendue «professionnelle» de part sa direction informatique
Concession de droits d utilisation Le Client est concessionnaire d un droit d usage sur un périmètre bien déterminé Logiciel standard : location même si immobilisation comptable Logiciel spécifique : droits acquits Clés temporaires Demande d arrêt d utilisation o Civil : non o Pénal : oui pour contre façon Bonnes pratiques Négocier et refuser les clés temporaires Le «non paiement» de la maintenance ne fait pas perdre le droit d utilisation des licences
Courrier en recommandé avec AR Pré-avis raisonnable Périmètre de l audit Logiciels contrôlés Les contrats relatifs La forme de l audit Les métriques de mesure Méthodologie Structure de l Audit Dates et horaires Information préalable à l Audit Absence d éléments: «principe de bonne foi» et non recevabilité de l audit.
Comptage des licences Trois modes o Vision interne de l éditeur du parc Client o Auto-évaluation fourni par le Client o Comptage sur site Installation d un produit de comptage (contractuel?) Echantillonnage Bonnes pratiques Capacité de fournir un rapport contradictoire Eviter tout paiement sur la base du rapport d audit du fournisseur Collecte uniquement sur les données relatives à l éditeur et le périmètre défini Faire spécifier le type d outillage de comptage Accord sur les règles de comptage => clause d audit! Analyser les risques et faire supporter les conséquences à l éditeur (direct ou indirect) Utilisation d un outil similaire
Déclaration de conformité Régularisation = déclaration de conformité pour le futur «Parc de licences» VS «rétroactivité financière» Rétroactivité des audits : un sujet au cas par cas! o o o Transferts de licences Environnements stables (archives) Upgrade de versions Bonnes pratiques Dé-commissioner les machines et les logiciels non utilisés Supprimer les comptes utilisateurs ne servant plus Prendre en compte les versions multiples
Aspects Organisationnels Techniques - Economiques Audit = Projet Guide d accueil Respect par les auditeurs des règles internes de l entreprise Organisation interne Client Qui réalise l audit? Durée de l audit? Organisation de la confidentialité de l Audit Prise en charge des coûts afférents à l audit? Concertation à niveau hiérarchique égal Valoriser les jours consommés Pas de surconsommation = prise en charge par l éditeur
Software Asset Management Objectifs Fournir un comptage précis des licences logicielles Eviter le (sur)déploiement de produits sans licence S assurer de l adéquation des licences par rapport aux usages Editer de manière régulière un catalogue de produits utilisés avec les principales métriques autorisées Valoriser le parc Eviter de racheter des licences déjà possédées. Etre capable de fournir un état exhaustif du parc dans le cadre d un Audit. Avoir le support managérial adéquat Obtenir l engagement de respect des politiques SAM Former les équipes
Processus et Checklist 5 grandes étapes! Checklist www.bee-inn.com/beecrai www.crip-asso.fr
MERCI POUR VOTRE ECOUTE contact@crai-asso.fr