Audits logiciels: comment la haute technologie joue le hardball

Lorsque la demande d'audit du logiciel est venue d'Adobe il y a deux ans, Margaret Smith (ce n'est pas son vrai nom) pensait que c'était comme d'habitude. En tant que spécialiste des risques de gouvernance et de la conformité pour une entreprise du classement Fortune 500, elle avait l'habitude de se faire auditer plusieurs fois par an.

«Habituellement, ces choses commencent amicalement», dit-elle. «Nous recevons une demande d'audit, et il y a une négociation. Ils veulent faire un audit sur place ou demander des identifiants d'employés spécifiques, et nous disons non. Mais cette fois, ils sont sortis en se balançant. Dans les deux semaines, ils menaçaient de faire venir les avocats.

L'entreprise de Smith, un fabricant de biens de consommation, avait licencié au moins 55 produits Adobe différents dans des bureaux du monde entier. À présent, le fabricant de logiciels accusait son entreprise d'utiliser beaucoup plus de logiciels qu'elle n'en avait le droit.

Les enjeux étaient élevés. Adobe aurait pu imposer des pénalités en plus des frais de licence impayés, facturer à son entreprise le coût de l'audit et demander des paiements rétroactifs à partir d'une certaine date.

Mais Margaret n'était pas un jeu d'enfant. Elle a travaillé pour une énorme organisation qui gérait plus de 4 000 produits logiciels et avait une assez bonne idée de leur conformité.

Il s'avère qu'il y avait un conflit entre la langue du contrat de licence signé par l'entreprise et les pièces justificatives qu'Adobe considérait comme faisant partie de cet accord. En fin de compte, ils se sont installés. Le fabricant de biens de consommation a accepté des contrôles supplémentaires pour la façon dont il déployait le logiciel, et Adobe a abandonné l'affaire (et, sans surprise, a refusé de commenter cette histoire).

Mais ça aurait pu devenir moche. Et c'est emblématique de l'agressivité des grands éditeurs de logiciels. 

Cet audit a été un facteur clé dans la décision de son entreprise de mettre en œuvre une solution de gestion des actifs logiciels de Snow Software, déclare Smith. «C'était l'exemple parfait pour étayer ma théorie selon laquelle la première étape pour obtenir la conformité consiste à comprendre ce avec quoi vous travaillez.»

En matière d'audits logiciels, le code omertà prévaut.

Si vous l'achetez, ils viendront

Il ne s'agit pas de savoir si les licences logicielles de votre organisation seront vérifiées. Il s'agit uniquement de savoir quand, à quelle fréquence et à quel point les audits seront douloureux. Le shakedown est une chose tellement sûre que presque tous les clients que nous avons contactés nous ont demandé de garder leur nom en dehors de cette histoire, de peur que cela ne fasse de leurs employeurs une cible pour les audits futurs.

Les audits sont à la hausse et ils deviennent plus chers. Selon Gartner, 68% des entreprises reçoivent au moins une demande d'audit chaque année, un nombre qui ne cesse de grimper chaque année depuis 2009. Les demandes les plus fréquentes proviennent des suspects habituels: Microsoft, Oracle, Adobe, IBM et SAP.

Une enquête réalisée par Flexera, un fournisseur de logiciels de gestion d'actifs logiciels, indique que 44% des entreprises ont dû payer des coûts «réels» de 100 000 USD ou plus, et 20% ont payé plus de 1 million USD - des pourcentages qui ont plus que doublé l'année passée.

Amy Konary d'IDC estime que jusqu'à 25% du budget logiciel d'une entreprise sera consacré à la seule complexité des licences.

«Il y a deux aspects à cela, et les deux sont difficiles à cerner», déclare Konary, vice-président chargé de diriger les programmes SaaS, Business Models et Mobile Enterprise Applications d'IDC. «Le premier est le surachat. Combien de logiciels supplémentaires achetez-vous pour atténuer les risques de non-conformité? Le second est le sous-achat. Vous faites l'objet d'un audit, vous constatez que vous avez utilisé plus de logiciels que prévu et que vous finissez par dépenser plus dans la correction. Il est difficile de redimensionner votre environnement logiciel en raison de la complexité des licences. »

Plus d'un quart de tous les logiciels installés dans les grandes entreprises américaines et britanniques sont des tablettes, avec un coût collectif supérieur à 7 milliards de dollars, selon une étude de 1E, une société d'automatisation du cycle de vie des logiciels. Ajoutez à cela les coûts cachés de l'interruption d'activité pour les audits qui peuvent durer 18 mois, et le prix final peut être énorme.

En bref, les entreprises laissent beaucoup d'argent sur la table - et les éditeurs de logiciels sont plus qu'heureux d'en récolter le plus possible.

Les audits sont des outils de vente

Techniquement, un audit logiciel est un moyen de prouver que vous n'avez installé que des logiciels pour lesquels vous avez payé, ou pour un éditeur de prouver que vous en avez trop installé ou utilisé. Mais le processus d'audit se termine souvent par la signature d'un chèque par le client - soit pour payer pour un logiciel trop ou mal installé, soit pour conclure un nouvel accord pour un engagement à plus long terme.

«Il va y avoir une vente à la fin d'un audit», déclare Peter Turpin, vice-président de Snow Software. «L'audit est un moyen de collecter de l'argent pour le logiciel installé par un client. Par conséquent, vous devez payer pour cela.

Mais les grands éditeurs utilisent également la menace d'un audit comme un moyen de conclure de nouvelles transactions, explique Craig Guarente, co-fondateur de Palisade Compliance, qui aide les entreprises à gérer les problèmes de licence Oracle.

Pendant plus de 15 ans, Guarente a été vice-président mondial des contrats et des pratiques commerciales pour Oracle. Il dit que pendant de nombreuses années, l'équipe de vente d'Oracle avait un mantra inspiré de "Glengarry Glen Ross" appelé "ABC: audit-négociation-clôture."

«Vous auditez quelqu'un, trouvez des problèmes, mettez de la peur dans son cœur et jetez un grand nombre là-haut», dit-il. «Ensuite, vous concluez un accord sur quelque chose d'autre qu'ils veulent que vous achetiez. Sauf que ces jours-ci, j'appelle cela «le cloud de négociation d'audit» - lancez un accord sur le cloud, et soudainement tous vos problèmes d'audit disparaissent. "

Oracle en particulier a été appelé pour des pratiques agressives de licences de logiciels. Une enquête d'octobre 2014 auprès des clients Oracle par la Campagne pour les licences claires a conclu que les relations des clients avec Oracle «sont hostiles et remplies d'une méfiance profondément enracinée».

En octobre 2015, la société de bonbons Mars Inc. a intenté une action contre Oracle, accusant la société de l'application de licences "hors du champ" sur la base de "faux locaux". Le costume a été abandonné en décembre dernier; les termes du règlement n'ont pas été annoncés.

Dans une interview avec le site britannique de nouvelles technologiques V3 en février dernier, Phil Pavitt, le CIO mondial de Specsavers, a dénoncé la «méthodologie de l'arme à feu» d'Oracle pour les licences de logiciels.

(Oracle a refusé les demandes de commentaires.)

Oracle n'est certainement pas le seul à utiliser les audits comme outil de négociation. Les clients contactés pour cette histoire ont confirmé une pression similaire exercée par d'autres éditeurs.

À long terme, cependant, cette approche agressive ne fait qu'engendrer de l'animosité, déclare Konary d'IDC. Si un commercial utilise les audits pour stimuler les ventes, cela signifie généralement que vous avez un mauvais commercial, dit-elle. Pourtant, la pression pour établir des quotas trimestriels peut les pousser à être plus agressifs.

«Les directeurs commerciaux n'aiment pas les audits logiciels car ils peuvent ruiner leurs relations avec les clients», dit-elle. «Mais beaucoup ont également des quotas de vente et un certain montant en dollars à atteindre. Il y a un peu de désalignement. »

Nuages ​​à l'horizon

Au fur et à mesure que de plus en plus d'entreprises se tournent vers le logiciel en tant que service, cela devrait théoriquement simplifier la façon dont le logiciel est autorisé et géré. Mais à court terme, c'est le contraire qui est vrai; fonctionner dans un cloud hybride et un environnement sur site rend tout plus complexe. Par exemple, il est trop facile pour le service informatique de créer de nouveaux services dans le cloud selon les besoins, sans tenir compte des implications en matière de licences, déclare Ed Rossi, vice-président de la gestion des produits chez Flexera.

«Lorsque vous introduisez le cloud, vous introduisez également beaucoup de complexité», dit-il. «Au fur et à mesure que les clients en profitent, ils se mettent en position d'utiliser plus de logiciels qu'ils n'en ont le droit. Je pense que nous constatons une augmentation progressive des audits pour cette raison.

Le simple fait de passer au cloud déclenchera parfois un audit, déclare Konary.

«Si vous prenez un logiciel sur site et le déplacez vers un environnement cloud dans votre propre centre de données, vous risquez très probablement de rencontrer des problèmes de licence», déclare Konary. "C'est un environnement tellement dynamique qu'il devient beaucoup plus difficile de suivre ce que vous utilisez réellement et de vous en tenir à vos exigences de licence."

L'utilisation des services de cloud public pose moins de problèmes de licence, ajoute-t-elle. À moins que les utilisateurs ne partagent leurs mots de passe, il est relativement simple de mesurer qui utilise quoi.

Une autre raison pour laquelle la dépendance accrue au cloud s'est accompagnée d'une augmentation des audits: les entreprises qui ont généré des milliards grâce aux logiciels sur site tentent d'en tirer le plus de revenus possible tant qu'elles le peuvent encore, déclare Robin Purohit, président du groupe. de l'organisation des solutions d'entreprise de BMC.

«Nous constatons une augmentation des audits des grandes entreprises», déclare Purohit. «Ce sont ceux qui sont les plus vulnérables à la transition vers le logiciel en tant que service. Leur croissance de licences est menacée, ils cherchent donc à maintenir les revenus des clients qu'ils ont à mesure qu'ils construisent leur portefeuille cloud et SAAS.

Leurs outils, leurs règles

De nombreux fournisseurs vous proposeront de vous aider à résoudre vos problèmes de conformité de licence. Ne le fais pas, conseille Guarente de Palisade.

«Cela peut se transformer en ce que j'appelle un« audit furtif »», dit-il. «Le fournisseur propose« d'aider »le client à résoudre ses problèmes de conformité, mais c'est vraiment un audit déguisé.»

Il dit qu'un client dépensait près de 40 000 $ par an en contrats de maintenance et de support Oracle et leur a demandé de l'aider à trouver comment réduire ses dépenses. Ils ont accepté avec joie. Quelques mois plus tard, il a reçu une facture de conformité de plus d'un million de dollars. C'est alors que Palisades a été introduit.

Souvent, les fournisseurs demandent aux clients d'utiliser des outils spécifiques pour suivre leur utilisation, mais ils ne font pas toujours un bon travail pour les informer à ce sujet, note l'avocat Rob Scott, directeur de Scott & Scott, LLP, une entreprise spécialisée dans la résolution de logiciels. les litiges d'audit.

«L'une des plus grandes histoires d'horreur que nous voyons entoure IBM et ses règles de virtualisation», déclare Scott. «Selon IBM, vous ne pouvez déployer leur logiciel de serveur virtuel que si vous déployez également leur outil de découverte propriétaire, dont la plupart des clients ne découvrent que la première fois qu’ils sont audités.»

IBM intervient alors et dit que ces serveurs virtuels sont sous licence pour la sous-capacité, mais comme vous n'avez pas déployé notre outil de découverte, vous nous devez la pleine capacité, ajoute Scott.

«J'ai vu que ce problème représentait des centaines de millions de dollars de frais de correction pour notre seule clientèle», déclare Scott. "Cela semble ésotérique, mais cela se passe partout dans le monde."

Lorsqu'il a été contacté, un porte-parole d'IBM a confirmé que la société exigeait des clients qu'ils utilisent un outil de surveillance gratuit pour suivre les «licences de sous-capacité». Dans un e-mail, elle a écrit:

Nos contrats logiciels sont très clairs sur les exigences pour tirer parti des licences de sous-capacité; cela fait partie de tous ces contrats depuis plus d'une décennie. De plus, nous contactons nos clients de manière proactive pour nous assurer qu'ils connaissent les opportunités et les protocoles de licence de sous-capacité.

Étagère où?

Un audit peut également révéler que vous payez pour un logiciel que vous n'utilisez pas. Mais ne vous attendez pas à ce que les éditeurs de logiciels vous disent cela.

"Je n'entends pas beaucoup parler de vendeurs venant vers les clients et disant:" Hé, vous avez dépensé trop d'argent avec nous "", admet Konary. D'un autre côté, ajoute-t-elle, la plupart des fournisseurs n'initieront pas d'audit à moins qu'ils ne soient assez convaincus que le client devra se redresser.

Konary dit que les entreprises pourraient acheter les mauvais types de licences pour leurs utilisateurs - comme une licence de développeur alors qu'une licence libre-service moins coûteuse ferait l'affaire.

"Vous avez peut-être des niveaux beaucoup plus chers que ce dont vous avez besoin. Avez-vous la possibilité de rétrograder cela? Une grande partie de cette découverte des étagères doit être initiée par le client."

Bien que la mise en œuvre d'outils de gestion des actifs logiciels puisse aider, les entreprises devront également modifier leurs processus de conformité et former les gens à gérer la complexité, ajoute-t-elle.

Dans la plupart des cas, les éditeurs de logiciels souhaitent rester des partenaires en règle avec leurs entreprises clientes. Mais ils veulent aussi gagner le plus d'argent possible. Et cela peut contraindre les partenariats au point de rupture.

«Il est vraiment important de se rappeler que les éditeurs ont le droit d'être payés pour les logiciels que leurs clients consomment», déclare Snow's Turpin. «Votre meilleure défense est une bonne attaque. Équipez-vous des bons outils de gestion afin qu'en cas de non-conformité, vous le sachiez et puissiez faire quelque chose selon vos propres conditions. "