Conformité Logicielle : à quand remonte votre dernier audit ? – Partie 1

C’est un peu la question devenue récurrente dans les échanges avec les entreprises confrontées à une problématique d’audit : « Pourquoi maintenant ? » « Pourquoi/comment avons-nous été ciblés ? » Et inévitablement : Quel est le risque réel de non-conformité pour l’entreprise ? Jusqu’où peut/souhaite aller l’éditeur ? Quelle stratégie de conformité logicielle adopter?

Les réponses à ces questions auraient sans doute été très différentes il y a encore 2 ou 3 ans, tant la configuration du marché et les modes d’organisations commerciales des éditeurs en matière de compliance étaient différentes.

Eléments de Contexte : cinq facteurs favorisant le durcissement des politiques de conformité

Force est de constater qu’un certain nombre de facteurs à la fois exogènes et endogènes du monde de l’édition logicielle est venu très récemment conforter l’industrialisation des démarches d’audit et la systématisation de ses conséquences pour les entreprises et leurs représentants légaux.

Le premier facteur est la dégradation générale du marché: les derniers résultats financiers des grands éditeurs et les différentes sanctions « boursières » correspondantes suffisent à comprendre que celui-ci est en tension. Et oui, Microsoft a plusieurs centaines de produits à son actif (qui remplissent chacun leur rôle technologique et commercial) et ne peut quand même pas être jugé sur les seules ventes des tablettes Surface RT. Pour autant, une augmentation de 5,6% de son chiffre d’affaires quand la firme a habitué le marché à des croissances à deux chiffres depuis sa création correspond bien, vis-à-vis de ses actionnaires, à une réelle contre performance. De même une augmentation de 0,16% du chiffre d’affaires (autrement dit une évolution nulle) chez Oracle, alors même que le bénéfice évolue de 9,5% correspond aussi à une contre performance de croissance du business, vis-à-vis des actionnaires.

Même si les marges restent très confortables (cf notre récent article sur le sujet : Résultats financiers des éditeurs de logiciels), les craintes d’une récession du marché chez les grands éditeurs se confirment et chaque direction générale est alors priée de fournir son plan de reconquête de la croissance. Le durcissement des règles de conformité prennent alors à leur charge une grande (trop grande ?) partie de cette stratégie de reconquête.

Le deuxième facteur est lui aussi conjoncturel : les récentes études commandées par le BSA mettent en évidence un taux de piratage moyen de 37% en entreprise en France, 33% en Europe, 42% à l’échelle mondiale. Sachant qu’il s’agit bien souvent d’études basées sur des méthodes de sondage des entreprises, on peut même imaginer que ces chiffres annoncés ne soient que l’estimation basse du phénomène.

Vu des headquarters des éditeurs il s’agit bien là d’une manne qui ne peut être laissée en l’état : 40% de taux de piratage signifie que l’éditeur pourrait potentiellement augmenter son chiffre d’affaires de 66%. Une promesse de gains rapides, prédictibles (on sait qu’un client en non-conformité est un client à fort potentiel qui a un besoin à satisfaire rapidement !) et à faible coût de vente (nul besoin d’avant-vente ou de benchmarking pour prouver la valeur de la solution puisque le client l’a déjà déployée), bref le rêve absolu de n’importe quelle direction commerciale ! Si les parties ne parviennent pas à un accord à l’amiable, les coûts de vente peuvent s’apparenter aux éventuels coûts juridiques, mais là aussi, si l’éditeur est sûr de son bon droit, ces coûts sont bien souvent récupérables dans le cadre d’une action en justice.

Le troisième facteur, corollaire des deux premiers, est la mise en place d’organisations ad-hoc chez les éditeurs, organisées appelées « SAM », « Licenses Services » ou plus directement « Compliance ». Ces organisations qui regroupent généralement des experts en licensing, des auditeurs et des juristes ont commencé pour certaines à se construire il y a tout juste 2 ans, mais elles se sont maintenant dotées de processus effectifs et industrialisés : il suffit de jeter un coup d’œil au contenu des dernières campagnes lancées ces derniers mois à destination des grands groupes comme des PME, tout éditeur confondu, pour s’en rendre compte.

Accompagnant la maturité de ces organisations, différents indicateurs de performance se sont mis en place, comme la traditionnelle notion d’objectifs financiers quantifiés et suivis au quotidien. Oui, les membres des organisations conformité sont d’authentiques commerciaux, jugés (et payés) sur le revenu généré par les audits. La plupart des éditeurs ont d’ailleurs tablé (et objectivé leurs équipes) sur une croissance du revenu issu de la conformité allant de 20% à 30% sur chacune de leur filiale. Pour pouvoir atteindre ces objectifs les équipes vont devoir faire preuve d’une indéniable pugnacité à détecter et surtout finaliser les cas de non-conformité sur les secteurs qui leurs sont attribués. Concrètement les campagnes d’audit directes (vous recevez un courrier) et indirectes (un audit de licences en fin de contrat, comme par exemple en sortie d’un contrat ULA ou EAP) visent cette année près d’un tiers des clients existants des éditeurs et la quasi-totalité des clients non suivis. Dit autrement : si un de vos affiliés, franchisés ou adhérents n’est référencé dans aucun de vos accords de mise en œuvre licences, vous pouvez être certain que ce dernier sera audité dans l’année à venir.

Le quatrième facteur, plus délicat à appréhender, concerne le cycle de vie des logiciels en entreprise. Il existe dans ce contexte un décalage entre les versions des solutions déployées chez les clients et les versions de licensing en cours sur ces mêmes solutions. Concrètement si l’éditeur modifie sa politique de licences suite à la sortie d’une nouvelle version de son produit, vous risquez fort d’être assujetti à cette nouvelle politique, même si vous n’avez effectué aucune migration vers la nouvelle version de ces solutions. Par exemple, si vous renouvelez la maintenance de vos solutions, cette maintenance nouvellement acquise suivra de facto la nouvelle politique licence. Les détenteurs de licences SQL Server ayant eu à renouveler leurs accords de licences après le 7 mars 2012 (date de sortie de SQL Server 2012) savent de quoi il en ressort, puisqu’il a fallu, pour certains, multiplier par deux leur besoin de licences, sans modification des architectures DB. On peut donc ainsi, de façon très paradoxale, se retrouver en défaut de conformité par le seul fait d’un renouvellement de contrat.

Le cinquième facteur, en partie résultant du quatrième facteur est le ratio 30/15 généralement constaté sur les budgets licences des grandes entreprises. Il est en effet très souvent constaté que sur un budget licences donné, 30% au minimum de ce budget correspond à des licences acquises mais non utilisées dans l’entreprise (soit par des projets non finalisés ou l’acquisition de « bundles » licences), pendant qu’au même moment 15% au minimum (au regard de la moyenne nationale) de ce budget correspond à des licences utilisées mais non couvertes par un accord de licences en cours. A moins d’avoir récemment effectué un audit interne de vos licences, vous pouvez être assuré que votre budget licences s’approche significativement de ces ratios. Nous verrons dans la deuxième partie de cet article (« Quels sont les risques ? ») que cette part des licences en défaut de conformité représente un poids financier beaucoup plus important sur les budgets informatiques que ces seuls 15% .

Suite de l’article ici : Risques de non conformité et stratégie à adopter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *