Au matin du 15 octobre j’ai répondu à l’invitation des sociétés Aspera et EasyTrust en assistant à la conférence SAM 2015 consacrée à la gestion des actifs logiciels, en compagnie de représentants des sociétés Carrefour, LVMH, Airbus Industries, Essilor, Natixis, Total, de la Direction générale de l’Aviation civile, etc. Ce fut passionnant.
Administrer un grand parc de logiciels est difficile
Il s’agissait de proposer des solutions à un problème que j’ai bien connu dans mes fonctions à l’Institut Pasteur, à l’Inserm et à l’Université Paris-Dauphine : l’administration des contrats de licence des logiciels commerciaux. Plus précisément, comment négocier et appliquer ces contrats en évitant deux écueils : violer certaines clauses, ce qui expose aux rigueurs de la loi, et se ruiner en payant plus cher que ce qui est dû.
Une malédiction du logiciel ?
Conditions de survie des entreprises en révolution cyberindustrielle.
Pour une entreprise la question ne se pose pas de la même façon que pour un particulier : il y a d’une part une instance qui conclut le contrat et en paye les redevances sur son budget, en général la Direction du Système d’information (DSI), et de l’autre des utilisateurs (des divisions ou des gens) qui ont tendance à se comporter comme des clients d’une ressource gratuite, ce qui rend la demande infinie. De l’autre côté, les éditeurs qui vendent les licences de droit d’usage des logiciels ont tout intérêt à stimuler la fièvre acheteuse des utilisateurs finals et à inhiber les velléités régulatrices de la DSI ; nous allons voir qu’ils disposent pour ce faire de certains concours de circonstances et de dispositifs contractuels d’une grande habileté.
Les principaux éditeurs de logiciels dont la conférence SAM 2015 débattait sont Microsoft, Oracle, SAP, VMWare, IBM, Adobe. Les contrats types de ces éditeurs comportent en général des clauses qui autorisent le vendeur à mener chez le client un audit de conformité au contrat, c’est-à-dire une opération de vérification que le nombre de copies de logiciels déployées et les options activées correspondent bien à ce que prévoit le contrat et aux redevances versées.
Combien de logiciels dans mon parc ?
Il faut savoir que dans une organisation d’une certaine taille il n’est pas simple de savoir combien de copies de Microsoft Office ou d’Oracle Database sont déployées sur les postes de travail, les ordinateurs portables et les serveurs de l’entreprise, sur ses différents sites. En effet la DSI dispose en général d’une ou plusieurs copies du logiciel, qui sont recopiées au fur et à mesure des besoins sur les différents matériels. Dès que l’organisation atteint une certaine taille la distribution des copies est décentralisée et du ressort d’informaticiens de terrain parfois éloignés du centre de gestion. En outre les logiciels sont souvent munis d’options multiples dont l’activation donne lieu à facturation supplémentaire, selon les termes de contrats de licence parfois difficiles à interpréter, à tel point que s’est développée une campagne d’opinion pour la clarification des licences.
Il est de la responsabilité du client de ne pas excéder le nombre de copies pour lesquelles il paye, ce qui est tout à fait légitime. Dans la pratique, les audits de conformité révèlent que la réalité observée excède souvent les termes du contrat. Il est rare que cette situation résulte d’une volonté de fraude délibérée. Le plus souvent, les utilisateurs finals ont tendance, lorsque l’informaticien vient leur installer le logiciel, à demander par précaution plus d’options que ce dont ils ont réellement besoin. Un gros client citait l’exemple d’un parc où l’utilisation d’un logiciel d’inventaire avait révélé la présence de 10 000 PC allumés, connectés au réseau et dotés de tous les logiciels usuels, mais sur lesquels aucun utilisateur ne s’était connecté depuis plus d’un an. Cette situation ouvrait droit à paiement de licences inutiles.
Conséquences de la virtualisation
Néanmoins, ce n’est pas sur les postes de travail que les plus gros débordements sont observés, mais dans les centres de calcul (datacenters comme il faut dire désormais). Il y a plusieurs raisons à cela, et toutes ne renvoient pas à la négligence des agents de la DSI. Un tel centre dispose en général d’une architecture redondante, tant pour les serveurs que pour les baies de stockage de données. Aujourd’hui la plupart des logiciels et des bases de données sont exploités sur des machines virtuelles, et parfois dans un nuage public (cloud computing). Une propriété intéressante et utile des machines virtuelles est la facilité de leur multiplication au gré des variations dans le temps des besoins de calcul.
Le calcul de la base de facturation des droits d’usage dans un tel contexte ne va pas sans prêter à débat. Les éditeurs ont tendance interpréter la situation de telle sorte que dès lors qu’une copie du logiciel est activable sur une machine (réelle ou virtuelle) du centre, il faut payer pour toutes les machines de toutes les baies, parce que rien n’empêche le logiciel de s’y propager. Une telle attitude est de nature à inciter les clients à regrouper leurs applications en silos étanches pour échapper à la surfacturation, ce qui va à rebours des évolutions techniques et de l’intégration du système d’information pour une meilleure gestion de l’entreprise.
Comment payer le juste prix ?
Il y a deux moyens de rapprocher la réalité des clauses du contrat : réduire le déploiement réel de logiciels en supprimant les copies et les options inutiles ou superflues, ajuster les termes du contrat au besoin réel. Les entreprises organisatrices de la conférence SAM 2015, Aspera et EasyTrust, proposent des logiciels et des services qui permettent, d’abord, de mieux connaître la réalité du parc de logiciels déployés dans l’entreprise, d’autre part de mieux adapter les contrats aux besoins réels.
Lorsqu’un audit de conformité révèle un écart entre la réalité et le contrat au détriment de l’éditeur, cet écart donne lieu à un redressement par le paiement d’indemnités rétroactives. Il faut savoir que les revenus engendrés par ces redressements sont loin d’être marginaux. Selon la communication du rédacteur en chef de la revue britannique ITAM Review, Martin Thompson, présent à la conférence, elles représentent pour la filiale britannique d’Oracle 50% du chiffre d’affaires. Ces audits sont menés par l’entité Oracle LSM (License Management Services), qui relève de la direction financière, et qui n’a donc aucune raison de faire au client une faveur commerciale. Dans le cas de Microsoft les audits sont confiés à des cabinets extérieurs rémunérés en fonction des sommes récupérées au titre des redressements. Bref, on voit qu’il vaut mieux être en règle lorsque se profile un audit de conformité.
Le paysage encombré et mouvant des licences
Comment se fait-il que clients et éditeurs puissent avoir des compréhensions très différentes du montant des redevances à payer pour le droit d’usage d’un logiciel ? Nous avons mentionné ci-dessus la possibilité d’interpréter de façon large le nombre de machines sujettes à redevance, ainsi que l’absence de clarté des termes de certaines licences. Ces questions peuvent être complexes, et en général le client ne possède pas toute la compétence nécessaire pour trouver le chemin optimal parmi la trentaine de formes différentes de licences que l’on observe, par exemple, chez Microsoft. Le vendeur, bien sûr, connaît cela sur le bout des doigts.
Pour compliquer encore la chose, les termes des licences évoluent dans le temps. Ainsi la licence standard édition 1 d’Oracle valait pour quatre sockets [1] sur un serveur, mais si le client veut passer à la version 12.1.02 du logiciel il passera ipso facto et sans forcément en avoir conscience sous le régime de la licence standard édition 2, qui ne vaut plus que pour deux sockets, du coup il ne sera plus en mesure de satisfaire un audit de conformité et il s’exposera à un redressement.
Les plans de reprise d’activité sont une autre source de confusion : une DSI prudente disposera pour ses systèmes vitaux d’un centre de secours, dans un de ses centres de calcul ou hébergé chez un prestataire extérieur. Ce centre de secours devra bien entendu être équipé de tous les logiciels nécessaires : faut-il payer les redevances plein tarif, sachant qu’en régime normal le logiciel n’est pas utilisé ? les systèmes installés chez l’hébergeur éventuel relèvent-ils des mêmes conditions contractuelles que ceux installés dans les locaux du client ? Autant de questions qu’il vaut mieux s’être posé avant l’audit de conformité.
Comment préparer un audit de conformité
La complexité de la situation exposée ci-dessus montre que l’entreprise qui aurait signé des contrats de droit d’usage de logiciels sans se donner les moyens de répondre à toutes les questions évoquées s’exposerait à des déconvenues financières qui peuvent se chiffrer assez vite en millions d’euros. Mon expérience à l’Inserm, entreprise de taille moyenne, m’a montré que cet ordre de grandeur n’était pas du tout irréaliste.
Comment éviter de telles difficultés ? On consultera avec profit les planches de Martin Thompson à ce sujet.
D’abord, il faut bien connaître son parc. Acquérir cette connaissance exige une démarche systématique au moyen d’outils automatiques, donc des logiciels spécialisés.
Cette démarche d’acquisition de la connaissance du parc installé peut être considérée comme une intrusion par certains utilisateurs. Il est donc indispensable qu’elle soit impulsée et soutenue au plus haut niveau de la hiérarchie : DSI, DAF, DG. Sinon elle échouera.
Il faut aussi une connaissance fine des subtilités des contrats de licence et de leurs évolutions dans le temps et dans l’espace. Posséder de telles compétences n’est possible que pour de très grandes entreprises, et encore. Peut-être vaut-il mieux s’en remettre à des cabinets spécialisés.
Il faut aussi jouer avec le temps : si l’audit de conformité intervient à l’improviste sans que la DSI soit prête il a toutes les chances de donner un résultat catastrophique. Il est possible de différer l’audit, mais cette attitude a des limites, parce que les contrats obligent le client à s’y soumettre.
La conférence SAM 2015 a présenté deux expériences d’utilisateurs qui ont pu diminuer dans des proportions considérables leurs dépenses de droits d’usage de logiciels : la Direction générale de l’Aviation civile (DGAC) et Deutsche Bundespost-DHL (480 000 agents, 120 000 véhicules, cf. les planches de l’exposé), ce au moyen d’une gestion rigoureuse et d’une bonne préparation des audits qui ont permis des négociations équitables avec les fournisseurs.
Les lecteurs réagissent : éléments de réponse
On m’invite à élargir ma présentation à d’autres acteurs du conseil aux DSI pour l’optimisation du parc logiciel des entreprises, comme les distributeurs généralistes Insight, SoftwareOne, SCC, SHI et les distributeurs mono-éditeurs tels que Easyteam, Diagora, Crayon, ou les grands cabinets d’audits KPMG, EY, Deloitte qui travaillent à 75% pour les éditeurs et à 25% pour les DSI (estimation personnelle). Aucun de ces acteurs n’encourage la vente ni l’achat de licences d’occasion (voire l’offre de Softcorner, start-up française et de UsedSoft, une allemande), ni la tierce maintenance logicielle (Origina pour IBM et Rimini Street pour Oracle).
Citons aussi Élée, et SIA Partners d’un autre iconomiste, Jean-Pierre Corniou. Ces acteurs, ainsi qu’Amettis, sont des acteurs complètement indépendants.
On me signale qu’EasyTeam, la société-mère d’EasyTrust, est un partenaire Platinium d’Oracle, tenu par ce partenariat de signaler à Oracle les non-conformités. Il pourrait y avoir là un conflit d’intérêt. La question avait également été soulevée par certains participants à la conférence. La réponse des intéressés est que la société-fille n’est pas assujettie aux mêmes obligations que la société-mère. La directrice adjointe d’Easytrust précise par ailleurs (cf. commentaire ci-dessous) que « ni Easyteam, ni Easytrust ne signalent à l’éditeur les situations de conformité de leurs clients, dans le respect de la confidentialité des informations qui [leur] sont confiées ».