Actu
Sergio Ribeiro, LANDesk Software : Garantir votre conformité logicielle en 6 points
juin 2010 par Sergio Ribeiro, Architecte Technique, LANDesk Software
Les processus d’audits logiciels font aujourd’hui partie intégrante de la vie d’une entreprise moderne. Si rien ne peut empêcher un éditeur de logiciels d’effectuer un audit, les DSI peuvent s’y préparer en passant d’une posture réactive à une attitude plus propice à la négociation.
Donnant-donnant
Comme tout le monde, les éditeurs de logiciels doivent être correctement rémunérés pour le droit d’usage de leurs produits. C’est aux entreprises de vérifier l’utilisation légale des logiciels. Si certains audits sont aléatoires, la majorité résulte de notifications d’infractions. Dans de telles situations, les auditeurs entament probablement leur mission avec un à priori négatif, connaissant par avance les pratiques douteuses du titulaire des licences.
Pour une entreprise, il existe seulement deux raisons de craindre un audit :
Elle est en infraction et elle le sait.
Elle n’est pas certaine de commettre une infraction.
Se préparer à un audit logiciel
Si une entreprise est en infraction et qu’elle en est consciente, il n’y a pas grand-chose à faire, si ce n’est tirer les conséquences qui s’imposent et signer un gros chèque. Mais si vous n’avez pas la certitude d’être en situation d’infraction, vous pouvez prendre quelques mesures (faire un inventaire, revoir les politiques et procédures, mettre en place un plan de gestion d’actifs logiciels) qui garantiront la mise à jour et l’exactitude de vos informations.
Maîtriser le processus
Partant du principe que savoir c’est pouvoir et que « la chance favorise les esprits préparés », voici 6 points concrets que vous pouvez facilement appliquer pour mettre tous les atouts de votre côté et aborder l’audit dans les meilleures conditions.
Créer un référentiel de vos actifs : il est important de se doter d’un référentiel des actifs spécialement conçu pour prendre en charge les licences logicielles, contrats et autres données de référence.
Connaître votre parc de logiciels : vous devez savoir quels logiciels vous avez installés, dans quelles versions et quelles quantités, mais aussi rassembler la documentation correspondante qui permettra de le prouver. Il est nécessaire de disposer d’un historique financier indiquant les paiements effectués pour les achats originaux, les mises à niveau et les contrats d’assurances logiciels. Sans facture, vous ne pourrez apporter la preuve que vous êtes bien le propriétaire des logiciels utilisés. Malheureusement, il n’existe pas de réponse simple à cette problématique. Les données dont vous disposez sont peut-être perdues dans votre système financier, voire associées à d’autres achats ou accords sous une forme, convenant davantage à la comptabilité qu’à la gestion des licences logicielles. Retrouver ces informations prend du temps, de l’énergie et des efforts, faute de quoi il vous faudra racheter les logiciels.
Connaître votre documentation : vous devez documenter les termes et conditions d’utilisation de chaque licence, sachant que chaque achat peut comprendre des éléments spécifiques. Les accords d’utilisation de logiciels peuvent varier — notamment les accords globaux ou conclus pour l’ensemble de l’entreprise — ; vous devez savoir exactement à quoi vous vous êtes engagé et dans quels termes ces accords constituent une autorisation d’utilisation. Certains accords permettent d’installer un programme sur plusieurs machines mais ne correspondent qu’à une seule autorisation d’utilisation. En recueillant ces données pour chaque licence achetée et en les stockant dans le référentiel de vos actifs, vous pourrez affecter des logiciels à partir d’un ensemble de licences et ainsi répondre efficacement à des besoins précis.
Savoir quels logiciels sont utilisés : répertoriez avec précision les logiciels actuellement installés sur vos ordinateurs et machines virtuelles. N’oubliez pas que dans la majorité des cas, une installation équivaut à une utilisation. Comparez le nombre d’instances découvertes et le nombre d’instances possédées pour déterminer la conformité de base. Si vous utilisez des Accords Entreprise (AE), le résultat représente votre « true-up » (processus qui aligne votre Accord Entreprise sur le nombre total de licences ajoutées au cours des 12 derniers mois). De nombreuses entreprises oublient que les logiciels installés sur une machine virtuelle (VM) ou sur des ordinateurs non utilisés « consomment » une licence (en fonction des termes et conditions spécifiques à la licence). Si vous effectuez un suivi des autorisations en plus des découvertes, vous ne serez jamais surpris et pourrez agir de façon appropriée.
Affecter les droits : appliquez un programme permettant d’affecter administrativement les droits d’utilisation des logiciels sur des machines spécifiques. Comparez les autorisations (utilisations légales) et les découvertes (utilisations effectives) et remédiez aux exceptions. Procédez à ces rapprochements de façon régulière et conservez les dossiers à titre d’audit interne. Il s’agit du projet le plus important que vous puissiez mettre en œuvre — et c’est aussi le programme le moins souvent appliqué. La plupart des entreprises se fondent sur ce qu’elles « découvrent » pour savoir ce dont elles disposent mais sans autorisation administrative, il est impossible de savoir avec précision quelles installations sont illégales et, par conséquent, de faire le ménage.
Mettre en œuvre un programme de demandes : créez un programme de demandes de logiciels associé à votre programme d’autorisations afin de garantir que seuls les logiciels dont vous êtes légalement propriétaire sont utilisés et de montrer que vous faites activement la chasse aux exceptions. Vérifiez que vos règles de demande et d’utilisation de logiciels sont documentées et acceptées par vos utilisateurs, qui ont généralement tendance à faire la sourde oreille face à ce type de demandes. Toutefois, si vous supprimez sans ménagement les installations non autorisées, les utilisateurs finiront par effectuer les demandes officielles à qui de droit. Lorsque des demandes autorisées sont traitées dans le cadre d’un processus cohérent et réitérable qui garantit la mise à jour du référentiel, il est plus facile d’identifier et d’éliminer les installations pirates.
La mise en œuvre de ces 6 points apporte de nombreux avantages
Premièrement, en divisant la tâche en différents projets, vous pouvez bénéficier de l’aide de plusieurs équipes dont la responsabilité sera spécifique et limitée. Si chaque équipe fait ce qu’elle sait faire de mieux et que le responsable des actifs logiciels coordonne les différentes activités, vous bénéficierez d’une meilleure valeur ajoutée.
Deuxièmement, en créant un système conforme aux standards en vigueur alimenté par les données relatives aux licences, aux autorisations et aux découvertes (et qui les alimentent en retour), les informations seront constamment actualisées. Ceci permet de procéder en permanence à une analyse ad-hoc, de sorte qu’en cas de demande de la part d’un auditeur, vous puissiez immédiatement fournir non seulement des données concrètes concernant les logiciels que vous possédez, les machines sur lesquelles ils sont installés et les licences concernées, mais aussi lui apporter la preuve méthodologique de votre conformité sur le long terme.
Dernier point, il est important de faire preuve de discipline, faute de quoi votre référentiel ne sera pas actualisé et vous perdrez les avantages que peut offrir un système de demandes et d’autorisations structuré.
Si vous déployez et entretenez ces processus élémentaires de façon proactive, vous pourrez faire la preuve de vos achats de logiciels et accords de maintenance de façon concrète et non pas empirique. Vous disposerez immédiatement des éléments-clés nécessaires pour démontrer à un auditeur que votre parc de logiciels est en conformité.
