Nous avons précédemment passé en revue les facteurs marché liés au durcissement des politiques de conformité des grands éditeurs de logiciels (cf. « Conformité Logicielle : à quand remonte votre dernier audit ? – Partie 1 »)
Quels sont, au final, les risques de non-conformité logicielle et quelle stratégie de conformité convient-il d’adopter ?
Dit autrement, comment répondre aux problématiques souvent exprimées dans ce domaine, telles que :
- « Sur le sujet de la conformité, ne joue-t-on pas à se faire peur ? »
- « Quels sont les risques réels ? Comment pouvons-nous les quantifier ? Comment pouvons-nous suivre leur évolution ?»
- « Comment mettre en œuvre une stratégie de conformité qui ne soit pas plus contraignante et/ou plus coûteuse que le risque financier auquel s’expose l’entreprise ? »
Revue des risques de non conformité logicielle en entreprise
Au-delà du coût indirect lié à l’aspect temps (temps passé des équipes informatique à répondre aux sollicitations d’audit, à ouvrir leur livres de comptes, à configurer le parc IT pour le rendre disponible aux éventuels outils d’inventaire,…) et du coût et risques liés aux décalages des projets métiers résultant d’une ré-affectation des ressources, les risques liés au défaut de conformité logicielle peuvent se répartir de la façon suivante :
- Surcoût sur les licences concernées par le défaut de conformité.
- En fonction de l’éditeur concerné ce surcoût peut être estimé entre 49% et 80% du coût des licences négociées lors d’un accord de licences classique.
- Exemple : chez Microsoft les licences de mise en conformité, dites « Get Genuine », représentent en moyenne un surcoût de 25% du prix liste de niveau A des accords de licences de type Select-Plus/MPSA.
- Autre exemple : chez Oracle le surcoût estimé est celui du prix catalogue des solutions (donc de 15% à 80% plus cher que les prix négociés), auquel s’ajoute un arriéré de la SULS (22% du prix de la solution) en fonction du nombre d’années d’installation ou d’usage de la solution n’ayant pas été couverte par un accord de licences.
- Risque financier au-delà de l’aspect non prévu/budgétisé de la dépense.
- En tenant compte des loyers de l’argent, cette dépense risque donc d’engendrer des frais financiers supplémentaires.
- Risque pénal pour le représentant légal de l’entreprise. Bien que les cas de procès de non-conformité au pénal soient très rares, les éditeurs préférant généralement passer par une procédure civile.
- Risque financier lié au dédommagement du plaignant en cas de procédure au civil.
- Risque de non-conformité financière.
- Ce risque a été mis en évidence de façon récente et est lié à la problématique de certification des comptes de l’entreprise. En effet, si l’entreprise est prise en défaut de conformité logicielle, elle se retrouve de facto en défaut d’exactitude de déclaration sur ses charges réelles, et par conséquence en défaut sur sa déclaration globale de « santé financière ».
- Le risque financier ou juridique lié à ce défaut de déclaration reste difficile à quantifier. Ce dernier dépendra de la part du défaut de déclaration des charges logicielles sur les charges totales de l’entreprise, ainsi que des forces en présence en cas de litige : parlons-nous d’une amende des instances de régulation du secteur financier ? d’une action en justice éventuelle de groupe d’actionnaires ? etc…
Mise en oeuvre d’une stratégie de conformité logicielle
Quelle stratégie (amont s’entend) convient-il donc d’adopter pour limiter ses risques de non-conformité logicielle ?
Sans être ici exhaustif, il est impératif pour l’entreprise de mettre en œuvre et d’assurer le suivi des processus suivants :
- Connaitre ses contrats, en assurer la gouvernance tant documentaire qu’opérationnelle
- Exemple : les contrats cadres des éditeurs définissent très souvent le protocole des démarches d’audit, ainsi qu’une notion de pourcentage d’erreur admissible détecté lors d’un audit, deux facteurs à appréhender pleinement dans sa stratégie de conformité
- Assurer le processus de gestion des preuves d’achats
- Définir un processus d’assessment de ses contrats en cours (à date anniversaire et idéalement tous les semestres) pour analyser les risques de non-conformité liés par exemple au renouvellement (ou non renouvellement) de ces contrats
- Connaitre l’état de déploiement de ses licences : l’idée n’est pas forcément d’effectuer un suivi quotidien de ces déploiements (surtout si vous posséder plusieurs milliers de postes), mais au moins d’avoir un niveau de connaissance et de réactivité identique à celui d’un auditeur potentiel
- Associer aux inventaires un plan de gestion des actifs logiciels et assurer ainsi le cycle de vie complet du logiciel dans l’entreprise (achat, acquisition, déploiement, usage, maintenance, ré-assignation, désinstallation, sortie des actifs)
- Intégrer un processus de veille Achats en coordination avec la production informatique: tant sur l’évolution de la politique de licensing de l’éditeur (on rejoint ici les processus de gouvernance contractuelle) que sur le cycle de vie des déploiements dans l’entreprise (problématique de suivi des environnements de production, test, développement, stagging ou DRP)
- Définir et assurer le suivi de la charte utilisateurs : les utilisateurs engagent très souvent la responsabilité de l’entreprise lors d’installation de solutions tierces ou dans certains cas d’usage de type BYOD, il convient de les sensibiliser aux risques de conformité inhérents à ces usages.
- Définir un processus d’audit interne « à blanc », en faisant correspondre inventaires, usage/utilisation réelle et droits d’usage des accords en cours.
Au-delà de la prévention du risque, ces quelques processus, une fois mis en œuvre, peuvent aussi permettre à l’entreprise de limiter drastiquement le surcoût du ratio 30/15 lié à son budget licences (cf. partie 1 de notre article). Le jeu en vaut très certainement la chandelle !
Vous trouverez d’autres exemples de processus et bonne pratiques Achats iT sur la page descriptive de nos services.
N’hésitez pas à nous contacter pour toute demande ou remarque sur ces éléments, via la fiche Contact.