Pour faire suite à mon précédent article sur
"comment éviter de perdre de l’argent bêtement", j’ai approfondi le sujet de la
gestion des licences, ou plutôt de la Gestion des actifs logiciels (SAM,
Software Asset Management).
La Gestion des Actifs Logiciels est depuis
2012 encadré par une norme, la norme ISO 19770-1 qui défini précisément ce
qu’est la Gestion des actifs logiciels et ce qu’elle implique.
Pour faire simple, la Gestion des actifs
logiciels (SAM, Software Asset Management) concerne tous les stades de leur
cycle de vie au sein de l'organisation :
- Acquisition,
- Déploiement,
- Support aux utilisateurs,
- Administration,
- Déploiement de correctifs ou de nouvelles versions.
Ne pas gérer ses actifs logiciels, c'est
s'exposer à trois grands risques:
- Risques techniques et de sécurité.
- Possibilité d'utilisation de failles connues corrigées par l'éditeur sous forme d'un correctif qui serait non appliqué sur le logiciel en production.
- Impossibilité d'obtenir un support de l'éditeur en cas de gros d'incident de production entraînant un arrêt de fourniture de service.
- Risques Financiers
- Condamnations pénales et financières pour l'entreprise et son dirigeant.
- Montant des amendes approchant trois fois le montant du préjudice financier constaté pour l'éditeur par l'absence de licences.
- Le coût de non fonctionnement d'un système d'informations est estimé par la BSA à environ quatre à cinq fois le montant des dommages et intérêts que pourraient réclamer un tribunal après un plainte pour utilisation de logiciel sans acquisition des licences afférentes
- Risques légaux et d'image
La
législation en cas d'utilisation frauduleuse de logiciels dans une entreprise
est très claire et encadrée par les articles L.335-2 et L.335-3 du code de la
propriété intellectuelle:
- Pénal
- Personnes physiques:
- 300000€ d'amende,
- 3 ans d'emprisonnement.
- Personnes morales:
- 1500000€ d'amende,
- 3 ans d'emprisonnement.
- Civil
- Dommages et intérêts.
Quelles sont
les personnes directement concernées par la gestion des actifs logiciels au
sein d’une organisation ?
- Le Responsable Moral de l’organisation (PDG, Directeur, Gérant, etc…)
- Le Responsable Financier,
- Le Responsable Informatique,
- L’ensemble de l’équipe informatique
- Tous les membres de l’organisation, car même s’ils ne seraient pas en première ligne, sous le feu des projecteurs en cas de contrôle, incident, etc…, ils sont concernés car le système d’information est désormais partout et à tous les niveaux d’une organisation. Un petit caillou, et hop les rouages bien huilés se grippent ou s’arrêtent.
Face à ces
risques, plusieurs comportements sont possibles. Afin de faire simple, j’ai
choisi volontairement de les réduire à trois comportements possibles, et de les
analyser.
Premier comportement :
Fermer les
yeux, enfouir sa tête dans le sable comme l’autruche et se persuader que notre
entreprise ne risque rien.
Penser que notre entreprise ne risque rien, c’est penser que :
- Jamais aucun éditeur ne fera de contrôle de licence.
- J’ai à ce jour, un retour d’expérience concernant un établissement hospitalier public de Dordogne qui a été concerné par un contrôle de licences avant 2010 par un grand éditeur international. Le contrôle s’est très mal passé et le directeur de l’établissement doit encore s’en souvenir tellement il a été sanctionné, tant par sa hiérarchie que par les peines prononcées à son encontre par le tribunal.
- Jamais l’entreprise ne sera touchée par un virus exploitant une faille de sécurité.
- Mauvaise pioche, en septembre 2001 l’entreprise dans laquelle je travaillais a été touchée de plein fouet par le virus Nimda parce que je n’avais pas appliqué les correctifs de sécurité fournis par l’éditeur en juillet de la même année. Je ne vous parle par non plus des virus Blaster, SQL Slammer ou Sasser qui ont touché d’autres entreprises que celles où je travaillais, mais dont j’ai entendu parlés par des amis qui avaient négligé de faire leurs mises à jour de sécurité dans les temps.
- Jamais, je n’aurai besoin de contacter l’éditeur pour avoir du support en cas d’incident.
- Là, mon passé de support niveau 2 pour un grand éditeur est plein de souvenirs de cas d’appel, et, je me rappelle en particulier d’un incident avec arrêt de production, dans une entreprise dont le responsable informatique allait par la suite devenir un ami, où nous n’avons pas pu l’aider parce que le serveur impacté n’était pas en règle, et nos outils de diagnostic étaient impuissants car ils s’appuyaient sur les licences.
Bref, tout
cela pour dire que le premier comportement est suicidaire, mais libre à vous de
l’adopter, vous ne pourrez pas dire que vous n’aviez pas été informé.
Deuxième comportement :
Être uniquement en règle avec ses licences et ses correctifs de sécurité.
Dans cette
situation,
- Pour chaque serveur ou station de travail, vous avez un logiciel avec la licence adaptée à la couche matérielle et au mode d’achat des licences souscrit,
- Pour chaque station de travail qui accède à un serveur sous Windows, vous avez une licence d’accès serveur,
- Pour chaque application installée sur un serveur ou une station de travail vous avez la licence associée adaptée à la fois pour le serveur et pour la station de travail ou pour l’utilisateur.
- Chaque logiciel installé sur les serveurs ou les stations de travail, que ce soit le système d’exploitation ou une application se voit appliqué les correctifs de sécurité après avoir été testés et ce dans un temps adapté à la faille de sécurité détectée et corrigée par l’éditeur.
C’est un
premier pas, il est bien et vous permet de ne pas prendre de risque.
Cela devrait
être la situation normale dans laquelle se trouvent toutes les organisations.
Je ne
m’étendrais donc pas sur ce deuxième comportement, il n’apporte aucun risque ou
inconvénient, mais n’apporte aucun avantage également, et ce fait, vous
continuez tout de même à perdre de l’argent parce que vous en gérez pas
totalement vos actifs logiciels.
Troisième comportement :
Vous êtes convaincu de l’utilité de la gestion des actifs logiciels, et vous avez mis en place une vraie démarche.
Avoir une
vraie démarche, c’est non seulement avoir toutes les licences des logiciels que
vous utilisez et que tous les logiciels que vous utilisez soient à jour des
correctifs de sécurité, mais c’est aussi :
- N’avoir d’installé que les logiciels dont vous avez besoin,
- Avoir choisi les logiciels dont vous avez besoin avec les utilisateurs de ces logiciels, car c’est eux qui savent le mieux de ce dont ils ont besoin et pourquoi ils en ont besoin.
- N’avoir d’installé que les logiciels que vous utilisez,
- Avoir formé les utilisateurs des logiciels afin d’éviter qu’ils génèrent des incidents dus à leur manque de compétence,
- Avoir formé le support interne à la résolution des incidents afin d’éviter de perdre du temps dans la recherche de solutions de résolution,
- N’avoir d’installé que des versions de logiciels qui sont supportés par l’éditeur et pour lesquelles vous avez un support si vous avez besoin d’escalader les incidents à un niveau supérieur,
- Être en capacité de déployer ou de retirer un logiciel en mettant à jour le document où sont consignées les informations relatives à la gestion des actifs logiciels,
- Être en capacité d’avoir en permanence un état à jour des logiciels déployés au sein de l’organisation, avec le serveur ou la station de travail et la licence correspondante.
Maintenant
que nous avons vu ensemble quels étaient les trois comportements qui pourraient
être adoptés par l’ensemble des personnes concernées par la gestion des actifs
logiciels, penchons nous sur les plans d’actions à mettre en œuvre pour chacun
de ses comportements.
Premier comportement :
- Si vous êtes à Marseille mettre un cierge à « La Bonne Mère » tous les jours,
- Si vous êtes ailleurs, prier, prendre un billet d’avion aller-simple pour Tristan da Cunha, …
Deuxième comportement :
1°) Répertorier les logiciels installés sur
les serveurs, les stations de travail, et les licences d'accès client, à la
main, via un script ou via un outil de remontée d'inventaire,
2°) Comparer l'inventaire avec les droits
d'utilisation acquis y compris les CALs,
3°) Vous mettre éventuellement en conformité
si ce n’était pas le cas,
4°) Appliquer à la main, via un script ou via
un outil de gestion les correctifs de sécurité fournis par les éditeurs,
5°) Tous les ans, refaire le recensement et
le rapprochement de l’existant avec les licences acquises.
Troisième comportement :
La démarche que vous avez mise en place a comporté
deux phases :
·
Une
phase que j’appelle la phase d’initialisation, et qui ne doit absolument pas
dépasser un mois faute de devenir obsolète,
·
Une
phase de consolidation qui est la plus importante et durera durant toute la vie
de l’organisation.
Que comporte la phase d’initialisation ?
Cette phase qui a pour but de savoir ce qui
est installé, de comparer ce qui est installé avec ce qui est acheté, et de se
mettre en conformité si nécessaire comporte trois opérations :
·
Répertorier
les logiciels installés sur les serveurs, les stations de travail, et les
licences d'accès client, à la main, via un script ou via un outil de remontée
d'inventaire,
·
Comparer
l'inventaire avec les droits d'utilisation acquis y compris les CALs,
·
Vous
mettre éventuellement en conformité si ce n’était pas le cas,
Les deux premières opérations doivent
obligatoirement prendre moins d'un mois pour éviter qu'il n'y ait de
modifications liées à l'arrivée de nouvelles machines ou de nouvelles applications
durant l'inventaire.
Durant cette phase, toute mise en production
doit obligatoirement être gelée, de ce fait le Responsable de la Gestion des
Changements doit être obligatoirement informé car il est directement concerné.
Que comporte la phase de consolidation ?
Cette phase set celle qui correspond vraiment
à la gestion des actifs logiciels, et consiste à acquérir seulement ce dont on
a besoin, utiliser au mieux les licences acquises (désinstaller ce qui ne sert
plus ou pas pour pouvoir l'installer ailleurs et donc limiter les dépenses
inutiles), former les utilisateurs, et supporter les logiciels en production.
Pour arriver à cela, plusieurs opérations
sont nécessaires :
1°) Nommer une personne Responsable de la
Gestion des Actifs Logiciels.
·
Identifier
la personne.
·
La
former à la norme ISO/IEC 19770-1,
·
Lui
attribuer du temps pour remplir sa mission en fonction de la taille de
l’organisation, du nombre de logiciels et d’éditeurs différents. Cette mission
peut être un véritable temps plein dans certaines organisations.
·
Lui
assigner des objectifs généraux et des objectifs précis à remplir tous les ans.
·
Lui
assigner un pouvoir de décision dans l’acquisition et la gestion des actifs
logiciels.
2°) A partir du catalogue de service, définir
la politique de gestion des logiciels et les procédures qui en découlent,
·
Quels
logiciels, Pour faire quoi ? Pour quels utilisateurs ?
·
Comment
sera décidé le déploiement d’un logiciel ?
·
Mode
de soumission de la demande de déploiement
·
Mode
de validation de la demande
·
Quels
comptes ont les droits d’installation ?
·
Comment
sont-ils déployés ?
o
A
partir d’un master unique complet ?
o
A
partir d’un master et de packages applicatifs déployés
o
A
la main
o
Via
un outil
§ Lancé par les
administrateurs,
§ Automatique si
validation via un workflow
·
Comment
sont-ils maintenus ?
o
A
la main,
o
Semi-automatique,
o
Tout
automatique
·
Comment
sont-ils retirés ?
o
A
la main
o
Via
un outil
·
Acquisition
des licences.
o
Licences
OEM,
o
Licences
en volume,
o
Licences
en location,
o
Logiciels
libres,
3°) Identifier des panels d’utilisateurs
référents qui permettront de définir les besoins, tester les logiciels, choisir
les logiciels et surtout être les ambassadeurs des logiciels au sein de
l’organisation.
·
Un
logiciel accepté par ses utilisateurs est un logiciel qui ne génère aucun ou que
peu d’incidents.
·
Un
logiciel imposé à ses utilisateurs, génère beaucoup d’incidents liés à la
mauvaise volonté des utilisateurs.
4°) Réaliser un guide d’utilisation du
logiciel spécifiquement adapté à son utilisation au sein de l’organisation et
le fournir à tous les utilisateurs.
5°) Former tous les utilisateurs à
l’utilisation du logiciel afin de limiter les erreurs ou les questions liées à
la méconnaissance.
6°) Former le service desk au support du
logiciel.
7°) Mettre en place un Wiki d’assistance aux
utilisateurs sur les 10 principaux cas de dysfonctionnement et les dix
principales questions leur permettant de résoudre le plus possible de
dysfonctionnement par eux-mêmes.
8°) Mettre en place une base de connaissances
pour le service desk.
9°) Mettre en place un outil de suivi de
licences en corrélation avec la CMDB (base de données de gestion des
configurations), la gestion des incidents, la supervision de l’infrastructure,
et le déploiement et retrait des logiciels.
·
Pour
ceux qui me diraient que ce genre d’outil coûte cher, je leur répondrais qu’il
en existe un de totalement gratuit dans le monde libre qui est parfait.
·
Pour
ceux qui demanderaient quel outil payant je leur préconise, je leur répondrais
que tout dépend de leur besoin et qu’il n’y a pas une solution mais des
solutions.
10°) Nommer un vrai gestionnaire des
changements et lui donner un vrai rôle à jouer au sein de l’organisation avec
un vrai pouvoir de décision.
11°) Effectuer une vraie gestion des
changements.
La Gestion des changements étant un chapitre complet de l’ITIL, elle ne sera pas développée dans cet article.
La Gestion des changements étant un chapitre complet de l’ITIL, elle ne sera pas développée dans cet article.
12°) Impliquer le gestionnaire des actifs
logiciels et le gestionnaire des changements dans tous les projets
informatiques en rendant obligatoire leur validation à la mise en production de
tout nouvel actif logiciel.
13°) Effectuer un rapprochement annuel entre
les actifs logiciels en production et les licences acquises et consigner le
tout dans un document.
14°) Communiquer régulièrement auprès de
l’ensemble des utilisateurs des actifs logiciels au sein de l’organisation pour
les sensibiliser et les convaincre de l’utilité d’une maîtrise totale du parc
logiciel pour le fonctionnement de l’entreprise.
Ce troisième comportement s’appelle la
démarche SAM. Cette démarche est prônée par les éditeurs de logiciels certes,
mais si vous regardez bien relève du bon sens et ne peut que vous apporter des
avantages.
·
Certes,
cette démarche peut vous paraitre complexe et difficile à mettre en œuvre, mais
vous n’êtes pas les seuls à vous trouver, ou à vous être trouvé confrontés un
jour ou l’autre à devoir entreprendre cette démarche.
100% des organisations qui l’ont entreprise et menée au bout ont arrêté de perdre de l’argent inutilement.
100% des organisations qui l’ont entreprise et menée au bout ont arrêté de perdre de l’argent inutilement.
·
Il
est possible avec les informations disponibles en ligne, dans la presse de
mener cette démarche tout seul avec succès.
·
La
démarche est plus rapide, coûte moins cher en investissements et couronnée de
succès à chaque fois si elle est pilotée ou totalement réalisée par un expert
disposant d’outils et de procédures industrialisées.
Bibliographie :
- https://www.iso.org/obp/ui/fr/#iso:std:iso-iec:19770:-1:ed-2:v1:fr
- http://www.microsoft.com/sam/en/us/default.asp
- http://www.it-expertise.com/la-gestion-des-licences-demarche-et-outils-sam/
- http://www.blog-lamon-associes.com/audit-de-licences-bonnes-pratiques-de-gestion
- http://www.clubic.com/actualite-169010-gestion-licences-logicielles-priorite-dsi-marc-vaillant.html
- http://www.bestpractices-si.fr/index.php?option=com_content&view=article&id=1671:gestion-des-licences-logiciellesn-les-dix-meilleures-pratiques&catid=34&Itemid=631