Les audits de licence logicielle sont un cauchemar pour l'entreprise. Nombreux sont les éditeurs à s'assurer que les entreprises paient pour les technologies qu'elles utilisent. Et rares sont les entreprises qui y échappent. Vous pourriez tout à fait faire l'objet d'une vérification cette année. Selon les estimations de Gartner, environ 66% des entreprises peuvent s'attendre à au moins un audit au cours des 12 prochains mois[1].
A l’annonce d’un audit logiciel, la panique peut vite monter. Êtes-vous bien conforme aux termes de vos contrats, bien souvent obscurs et difficiles à mettre en œuvre ? Avez-vous accès aux données et informations qui vous permettront de prouver avec certitude votre conformité ?
Le secret pour survivre à un audit ? Un plan d'audit logiciel.
Avec l'imminence d'un audit logiciel, votre survie dépend de votre compréhension de la situation. A quoi devez-vous vous attendre ? Quelles sont les mesures à prendre pour assurer la conformité ? N'attendez pas le premier avis d'audit pour commencer à élaborer votre plan.
Que doit-il comporter exactement ? Concrètement, il prend la forme d’un guide des différentes étapes à suivre après avoir reçu une lettre d'audit. Correctement mises en oeuvre, elles peuvent aider à réduire l'impact de l’audit sur les finances et la productivité de l’entreprise. Ces étapes fonctionnent pour tous les éditeurs en général, et peuvent être modifiées pour répondre à des besoins spécifiques.
Les 10 étapes d’un plan d'audit logiciel :
- Avertissez les bonnes personnes dès la réception de l’avis d'audit. Identifiez et avertissez personnellement les collaborateurs ou les services qui doivent être au courant de l’avis d’audit. Cela inclut généralement le responsable ITAM (gestion des biens IT) ou SAM (gestion des biens logiciels), le service juridique et le DSI.
- Impliquez le service juridique. Si vous en disposez, il doit intervenir à chaque étape du processus, communiquer et négocier avec l’éditeur. Parfois, cette tâche incombera au service Achats ou au responsable SAM.
- Convoquez toutes les parties concernées à une réunion obligatoire. C’est la meilleure façon de s’assurer que toutes les personnes impliquées comprennent les responsabilités des uns et des autres au cours de l’audit. Désignez un représentant dans chaque équipe, qui fera office d’interlocuteur unique, participera et s’assurera que tous participent aux prochaines réunions, et aura également pour mission de fournir rapidement toutes les données demandées.
- Négociez un nouvel accord de non-divulgation (NDA) avec l'éditeur. Travaillez pour cela avec le service juridique. Ce NDA doit réaffirmer que seules les informations nécessaires à l’audit seront partagées entre les différentes parties.
- Négociez les termes et conditions de l’audit. Veillez à bien détailler les informations à collecter et à inclure dans les rapports. Répertoriez précisément les produits ou applications de l’éditeur à inclure, car tous n’ont pas besoin d’y figurer.
- Collectez les bonnes données. Selon les conditions définies à l’étape précédente, collectez toutes les données pertinentes. Normalement, vous devriez déjà en posséder la plupart. N’oubliez pas d’inclure les personnes désignées à l’étape 3.
- Envoyez ces données (ni plus, ni moins) à l'éditeur. Fournissez les données demandées dans le délai fixé, en n’incluant que celles absolument nécessaires, telles que négociées dans les conditions d’audit. Fournir trop de données pourrait vous nuire au final.
- Négociez les conséquences de l’audit. Après avoir fourni les données, travaillez de nouveau avec le service juridique pour négocier les conséquences de l’audit avec l’éditeur. Il peut s’agir de coûts de mise en conformité, de frais, d’amendes, ou d’une modification des termes de votre contrat. Saisissez cette opportunité pour négocier des réductions pour gros volume ou pour diminuer les coûts. Ne vous contentez pas d’accepter les conditions de l’éditeur. Vous pouvez même arriver à supprimer les clauses d’audit de votre contrat si vous effectuez une mise en conformité tous les ans.
- Conservez une trace des étapes de l’audit. C’est la phase la plus importante. Notez consciencieusement les étapes qui ont fonctionné, ou au contraire échoué ; le coût de l’audit, ou ce qu’il vous a permis d’économiser ; les tactiques de négociation utilisées, et celles qui ont fonctionné ; etc.
- Préparez-vous pour votre prochain audit. Après avoir noté ces informations, veillez à modifier votre plan d’audit logiciel si nécessaire. Commencez immédiatement à préparer l’audit suivant. 52% des entreprises déclarent en effet avoir vécu plus d’un audit logiciel[2].
La conception d’un plan d’audit logiciel n’est pas très difficile, et les avantages peuvent être énormes. Imaginez le temps et le stress que vous allez économiser si vous savez quoi faire lorsqu’un éditeur vous en notifie. En outre, en vous préparant et en mettant en place une découverte automatisée proactive plus efficace, vous pouvez même arriver à évaluer le coût de l’audit à une centaine d’euros près. Qui n’aimerait pas pouvoir donner à son DSI et à son équipe de Direction le coût exact de l’audit, dès le premier jour ?
Ces plans vous aident aussi à limiter les amendes ou les frais de non-conformité. Les gros éditeurs de logiciels ne se soucient absolument pas des dommages que ces audits causent à votre entreprise. Ils s’inquiètent seulement de l’argent qu’ils peuvent gagner. Si vous pouvez limiter ces sommes et que les éditeurs ne gagnent que quelques centaines de d’euros par audit, ils deviendront moins fréquents.
Par Abdel El Bachtany, Directeur Avant-Vente EMEA South, Ivanti
[1] “Nine Steps to Survive Your Next Software Audit”, Gartner IT Sourcing, Procurement, Vendor & Asset Management Summit, 2018
[2] Etude Vanson Bourne pour 1E, 2013