Pour faire suite à mon précédent article sur « Comment éviter de perdre de l’argent bêtement« , j’ai approfondi le sujet de la gestion des licences, ou plutôt de la Gestion des actifs logiciels (SAM, Software Asset Management).
La Gestion des Actifs Logiciels est depuis 2012 encadré par une norme, la norme ISO 19770-1 qui définit précisément ce qu’est la Gestion des actifs logiciels et ce qu’elle implique.
SAM, qu’est-ce que c’est ?
Pour faire simple, la Gestion des actifs logiciels (SAM, Software Asset Management) concerne tous les stades de leur cycle de vie au sein de l’organisation :
- Acquisition
- Déploiement
- Support aux utilisateurs,
- Administration,
- Déploiement de correctifs ou de nouvelles versions
Ne pas gérer ses actifs logiciels, c’est s’exposer à trois grands risques
Risques techniques et de sécurité
- Possibilité d’utilisation de failles connues corrigées par l’éditeur sous forme d’un correctif qui serait non appliqué sur le logiciel en production
- Impossibilité d’obtenir un support de l’éditeur en cas de gros d’incident de production entraînant un arrêt de fourniture de service
Risques Financiers
- Condamnations pénales et financières pour l’entreprise et son dirigeant.
- Montant des amendes approchant trois fois le montant du préjudice financier constaté pour l’éditeur par l’absence de licences.
- Le coût de non fonctionnement d’un système d’informations est estimé par la BSA à environ quatre à cinq fois le montant des dommages et intérêts que pourraient réclamer un tribunal après un plainte pour utilisation de logiciel sans acquisition des licences afférentes
Risques légaux et d’image
La législation en cas d’utilisation frauduleuse de logiciels dans une entreprise est très claire et encadrée par les articles L.335-2 et L.335-3 du code de la propriété intellectuelle :
- Pénal
- Personnes physiques
- 300000€ d’amende
- 3 ans d’emprisonnement
- Personnes morales
- 1500000€ d’amende
- 3 ans d’emprisonnement
- Civil
- o Dommages et intérêts
- Personnes physiques
Quelles sont les personnes directement concernées par la gestion des actifs logiciels au sein d’une organisation ?
- Le Responsable Moral de l’organisation (PDG, Directeur, Gérant, etc…)
- Le Responsable Financier
- Le Responsable Informatique
- L’ensemble de l’équipe informatique
- Tous les membres de l’organisation, car même s’ils ne seraient pas en première ligne, sous le feu des projecteurs en cas de contrôle, incident, etc…, ils sont concernés car le système d’information est désormais partout et à tous les niveaux d’une organisation. Un petit caillou, et hop les rouages bien huilés se grippent ou s’arrêtent
Analyse des comportements possibles face à ces risques
Afin de faire simple, j’ai choisi volontairement de les réduire à trois comportements possibles, et de les analyser.
Premier comportement : Pratiquer la politique de l’autruche
Fermer les yeux, enfouir sa tête dans le sable et se persuader que notre entreprise ne risque rien. Et penser cela, c’est penser que :
Jamais aucun éditeur ne fera de contrôle de licence.
J’ai à ce jour, un retour d’expérience concernant un établissement hospitalier public de Dordogne qui a été concerné par un contrôle de licences avant 2010 par un grand éditeur international. Le contrôle s’est très mal passé et le directeur de l’établissement doit encore s’en souvenir tellement il a été sanctionné, tant par sa hiérarchie que par les peines prononcées à son encontre par le tribunal.
Jamais l’entreprise ne sera touchée par un virus exploitant une faille de sécurité.
Mauvaise pioche, en septembre 2001 l’entreprise dans laquelle je travaillais a été touchée de plein fouet par le virus Nimda parce que je n’avais pas appliqué les correctifs de sécurité fournis par l’éditeur en juillet de la même année. Je ne vous parle par non plus des virus Blaster, SQL Slammer ou Sasser qui ont touché d’autres entreprises que celles où je travaillais, mais dont j’ai entendu parlés par des amis qui avaient négligé de faire leurs mises à jour de sécurité dans les temps.
Jamais, je n’aurai besoin de contacter l’éditeur pour avoir du support en cas d’incident.
Là, mon passé de support niveau 2 pour un grand éditeur est plein de souvenirs de cas d’appel, et, je me rappelle en particulier d’un incident avec arrêt de production, dans une entreprise dont le responsable informatique allait par la suite devenir un ami, où nous n’avons pas pu l’aider parce que le serveur impacté n’était pas en règle, et nos outils de diagnostic étaient impuissants car ils s’appuyaient sur les licences.
Bref, tout cela pour dire que le premier comportement est suicidaire, mais libre à vous de l’adopter, vous ne pourrez pas dire que vous n’aviez pas été informé.
Deuxième comportement : Être uniquement en règle avec ses licences et ses correctifs de sécurité.
Dans cette situation,
- Pour chaque serveur ou station de travail, vous avez un logiciel avec la licence adaptée à la couche matérielle et au mode d’achat des licences souscrit,
- Pour chaque station de travail qui accède à un serveur sous Windows, vous avez une licence d’accès serveur,
- Pour chaque application installée sur un serveur ou une station de travail vous avez la licence associée adaptée à la fois pour le serveur et pour la station de travail ou pour l’utilisateur.
- Chaque logiciel installé sur les serveurs ou les stations de travail, que ce soit le système d’exploitation ou une application se voit appliqué les correctifs de sécurité après avoir été testés et ce dans un temps adapté à la faille de sécurité détectée et corrigée par l’éditeur.
C’est un premier pas, il est bien et vous permet de ne pas prendre de risque.
Cela devrait être la situation normale dans laquelle se trouvent toutes les organisations.
Je ne m’étendrai donc pas sur ce deuxième comportement, il n’apporte aucun risque ou inconvénient, mais n’apporte aucun avantage également, et ce fait, vous continuez tout de même à perdre de l’argent parce que vous en gérez pas totalement vos actifs logiciels.
Troisième comportement : Vous êtes convaincu de l’utilité de la gestion des actifs logiciels, et vous avez mis en place une vraie démarche.
Avoir une vraie démarche, c’est non seulement avoir toutes les licences des logiciels que vous utilisez et que tous les logiciels que vous utilisez soient à jour des correctifs de sécurité, mais c’est aussi :
- N’avoir d’installé que les logiciels dont vous avez besoin,
- Avoir choisi les logiciels dont vous avez besoin avec les utilisateurs de ces logiciels, car c’est eux qui savent le mieux de ce dont ils ont besoin et pourquoi ils en ont besoin.
- N’avoir d’installé que les logiciels que vous utilisez,
- Avoir formé les utilisateurs des logiciels afin d’éviter qu’ils génèrent des incidents dus à leur manque de compétence,
- Avoir formé le support interne à la résolution des incidents afin d’éviter de perdre du temps dans la recherche de solutions de résolution,
- N’avoir d’installé que des versions de logiciels qui sont supportés par l’éditeur et pour lesquelles vous avez un support si vous avez besoin d’escalader les incidents à un niveau supérieur,
- Être en capacité de déployer ou de retirer un logiciel en mettant à jour le document où sont consignées les informations relatives à la gestion des actifs logiciels,
- Être en capacité d’avoir en permanence un état à jour des logiciels déployés au sein de l’organisation, avec le serveur ou la station de travail et la licence correspondante.
Les solutions pour palier à ces comportements
Maintenant que nous avons vu ensemble quels étaient les trois comportements qui pourraient être adoptés par l’ensemble des personnes concernées par la gestion des actifs logiciels, penchons nous sur les plans d’actions à mettre en œuvre pour chacun de ses comportements.
Premier comportement :
- Si vous êtes à Marseille mettre un cierge à « La Bonne Mère » tous les jours
- Si vous êtes ailleurs, prier, prendre un billet d’avion aller-simple pour Tristan da Cunha, …
Deuxième comportement :
- Répertorier les logiciels installés sur les serveurs, les stations de travail, et les licences d’accès client, à la main, via un script ou via un outil de remontée d’inventaire
- Comparer l’inventaire avec les droits d’utilisation acquis y compris les CALs
- Vous mettre éventuellement en conformité si ce n’était pas le cas
- Appliquer à la main, via un script ou via un outil de gestion les correctifs de sécurité fournis par les éditeurs
- Tous les ans, refaire le recensement et le rapprochement de l’existant avec les licences acquises
Troisième comportement :
La démarche que vous avez mise en place a comporté deux phases :
- Une phase que j’appelle la phase d’initialisation, et qui ne doit absolument pas dépasser un mois faute de devenir obsolète
- Une phase de consolidation qui est la plus importante et durera durant toute la vie de l’organisation
Que comporte la phase d’initialisation ?
Cette phase qui a pour but de savoir ce qui est installé, de comparer ce qui est installé avec ce qui est acheté, et de se mettre en conformité si nécessaire comporte trois opérations :
- Répertorier les logiciels installés sur les serveurs, les stations de travail, et les licences d’accès client, à la main, via un script ou via un outil de remontée d’inventaire,
- Comparer l’inventaire avec les droits d’utilisation acquis y compris les CALs,
- Vous mettre éventuellement en conformité si ce n’était pas le cas,
Les deux premières opérations doivent obligatoirement prendre moins d’un mois pour éviter qu’il n’y ait de modifications liées à l’arrivée de nouvelles machines ou de nouvelles applications durant l’inventaire.
Durant cette phase, toute mise en production doit obligatoirement être gelée, de ce fait le Responsable de la Gestion des Changements doit être obligatoirement informé car il est directement concerné.
Que comporte la phase de consolidation ?
Cette phase set celle qui correspond vraiment à la gestion des actifs logiciels, et consiste à acquérir seulement ce dont on a besoin, utiliser au mieux les licences acquises (désinstaller ce qui ne sert plus ou pas pour pouvoir l’installer ailleurs et donc limiter les dépenses inutiles), former les utilisateurs, et supporter les logiciels en production.
Pour arriver à cela, plusieurs opérations sont nécessaires
1°) Nommer une personne Responsable de la Gestion des Actifs Logiciels
- Identifier la personne.
- La former à la norme ISO/IEC 19770-1,
- Lui attribuer du temps pour remplir sa mission en fonction de la taille de l’organisation, du nombre de logiciels et d’éditeurs différents. Cette mission peut être un véritable temps plein dans certaines organisations.
- Lui assigner des objectifs généraux et des objectifs précis à remplir tous les ans.
- Lui assigner un pouvoir de décision dans l’acquisition et la gestion des actifs logiciels.
2°) A partir du catalogue de service, définir la politique de gestion des logiciels et les procédures qui en découlent
- Quels logiciels, Pour faire quoi ? Pour quels utilisateurs ?
- Comment sera décidé le déploiement d’un logiciel ?
- Mode de soumission de la demande de déploiement
- Mode de validation de la demande
- Quels comptes ont les droits d’installation ?
- Comment sont-ils déployés ?
- A partir d’un master unique complet ?
- A partir d’un master et de packages applicatifs déployés
- A la main
- Via un outil
- Lancé par les administrateurs,
- Automatique si validation via un workflow
- Comment sont-ils maintenus ?
- A la main,
- Semi-automatique
- Tout automatique
- Comment sont-ils retirés ?
- A la main
- Via un outil
- Acquisition des licences.
- Licences OEM
- Licences en volume
- Licences en location
- Logiciels libres
3°) Identifier des panels d’utilisateurs référents qui permettront de définir les besoins, tester les logiciels, choisir les logiciels et surtout être les ambassadeurs des logiciels au sein de l’organisation.
- Un logiciel accepté par ses utilisateurs est un logiciel qui ne génère aucun ou que peu d’incidents.
- Un logiciel imposé à ses utilisateurs, génère beaucoup d’incidents liés à la mauvaise volonté des utilisateurs.
4°) Réaliser un guide d’utilisation du logiciel spécifiquement adapté à son utilisation au sein de l’organisation et le fournir à tous les utilisateurs.
5°) Former tous les utilisateurs à l’utilisation du logiciel afin de limiter les erreurs ou les questions liées à la méconnaissance.
6°) Former le service desk au support du logiciel.
7°) Mettre en place un Wiki d’assistance aux utilisateurs sur les 10 principaux cas de dysfonctionnement et les dix principales questions leur permettant de résoudre le plus possible de dysfonctionnement par eux-mêmes.
8°) Mettre en place une base de connaissances pour le service desk.
9°) Mettre en place un outil de suivi de licences en corrélation avec la CMDB (base de données de gestion des configurations), la gestion des incidents, la supervision de l’infrastructure, et le déploiement et retrait des logiciels.
- Pour ceux qui me diraient que ce genre d’outil coûte cher, je leur répondrais qu’il en existe un de totalement gratuit dans le monde libre qui est parfait.
- Pour ceux qui demanderaient quel outil payant je leur préconise, je leur répondrais que tout dépend de leur besoin et qu’il n’y a pas une solution mais des solutions.
10°) Nommer un vrai gestionnaire des changements et lui donner un vrai rôle à jouer au sein de l’organisation avec un vrai pouvoir de décision.
11°) Effectuer une vraie gestion des changements.
La Gestion des changements étant un chapitre complet de l’ITIL, elle ne sera pas développée dans cet article.
12°) Impliquer le gestionnaire des actifs logiciels et le gestionnaire des changements dans tous les projets informatiques en rendant obligatoire leur validation à la mise en production de tout nouvel actif logiciel.
13°) Effectuer un rapprochement annuel entre les actifs logiciels en production et les licences acquises et consigner le tout dans un document.
14°) Communiquer régulièrement auprès de l’ensemble des utilisateurs des actifs logiciels au sein de l’organisation pour les sensibiliser et les convaincre de l’utilité d’une maîtrise totale du parc logiciel pour le fonctionnement de l’entreprise.
Ce troisième comportement s’appelle donc la démarche SAM. Cette démarche est prônée par les éditeurs de logiciels certes, mais si vous regardez bien relève du bon sens et ne peut que vous apporter des avantages.
- Certes, cette démarche peut vous paraître complexe et difficile à mettre en œuvre, mais vous n’êtes pas les seuls à vous trouver, ou à vous être trouvé confrontés un jour ou l’autre à devoir entreprendre cette démarche.
100% des organisations qui l’ont entreprise et menée au bout ont arrêté de perdre de l’argent inutilement. - Il est possible avec les informations disponibles en ligne, dans la presse de mener cette démarche tout seul avec succès.
- La démarche est plus rapide, coûte moins cher en investissements et couronnée de succès à chaque fois si elle est pilotée ou totalement réalisée par un expert disposant d’outils et de procédures industrialisées.
Bibliographie :
- https://www.iso.org/obp/ui/fr/#iso:std:iso-iec:19770:-1:ed-2:v1:fr
- http://www.microsoft.com/sam/en/us/default.asp
- http://www.it-expertise.com/la-gestion-des-licences-demarche-et-outils-sam/
- http://www.blog-lamon-associes.com/audit-de-licences-bonnes-pratiques-de-gestion
- http://www.clubic.com/actualite-169010-gestion-licences-logicielles-priorite-dsi-marc-vaillant.html
- http://www.bestpractices-si.fr/index.php?option=com_content&view=article&id=1671:gestion-des-licences-logiciellesn-les-dix-meilleures-pratiques&catid=34&Itemid=631
Gabriel NGOMA
Patrick GILLET
Constance Lemaire