Selon une étude Gartner publiée en 2014, « 68 % des organisations peuvent s’attendre à subir au moins un audit des logiciels dans les 12 prochains mois ». Todd Labrum, Product Manager chez Landesk, explique comment le préparer et le gérer.
Malgré le fait que l’on s’attende plus ou moins à subir un audit, il existe néanmoins 4 types d’émotions que l’on peut ressentir à la réception d’un avis d’audit logiciel…
- Peur de l’inconnu – Qu’est-ce que cet audit va nous coûter ? Combien de temps il va durer ? Est-ce que l’on va réussir ?
- Frustration – Je n’ai pas le temps de m’occuper de ça maintenant, j’ai déjà une somme de travail en cours. Je vais être en retard sur le Projet X.
- Perte de contrôle – Je suis à la merci des auditeurs et je ne peux rien y faire. Comment faire pour que tous les services impliqués réagissent efficacement ?
- Panique totale – Que dois-je faire ? Où vais-je trouver les informations qu’ils demandent ? Est-ce que ça risque de me faire perdre mon travail ?
Pour gérer ces émotions et garantir le meilleur résultat possible pour son entreprise, l’objectif est de mettre en place un plan d’audit des logiciels. Il est vivement conseillé de ne pas attendre la réception du premier avis d’audit pour concevoir son plan.
Qu’est-ce qu’un plan d’audit des logiciels ?
C’est un guide qui décrit les étapes à suivre lorsque l’on reçoit un avis d’audit. Ces étapes permettent de réduire l’impact de l’audit sur les finances et la productivité de l’entreprise, et à améliorer de façon significative l’impact de l’audit sur le bien-être émotionnel des collaborateurs.
En général, on applique des étapes identiques pour tous les éditeurs de logiciels, mais il est possible de les modifier pour répondre à des besoins spécifiques si nécessaire.
Voici un exemple de plan en seulement 10 étapes.
Étape 1 – Réception de l’avis d’audit
Identifier les individus ou les services qui doivent être immédiatement avertis de l’avis d’audit. Dans l’idéal, cela inclut le responsable ITAM/SAM (IT Asset Management / Software Asset Management), le service juridique et le DSI. Il ne faut pas se contenter de faire circuler l’avis d’audit d’un service à l’autre car personne ne saura quoi en faire.
Étape 2 – Impliquer immédiatement le département juridique
Si l’entreprise dispose d’une équipe juridique, il faut immédiatement l’impliquer. Le service juridique doit intervenir à chaque étape du processus pour réagir, négocier et communiquer avec l’éditeur de logiciels. Parfois, cela peut être géré par le service achats ou par le gestionnaire de biens logiciels (SAM). Dans tous les cas, il faut impérativement avertir le DSI ou l’équipe de Direction qu’un audit est en cours.
Étape 3 – Organiser une réunion obligatoire pour toutes les personnes et tous les services concernés
Cette réunion a pour but d’améliorer la compréhension des responsabilités de chacun au cours de l’audit. Un représentant dans chaque équipe ou service devra de préférence être désigné. Il devra participer et s’assurer que tous participent aux prochaines réunions. Ce sera l’interlocuteur unique de cette équipe qui fournira toutes les données pertinentes et de manière réactive.
Étape 4 – Négocier un nouvel accord de non-divulgation (NDA) avec l’éditeur de logiciels
Une collaboration étroite avec le département juridique est recommandée pour conclure un nouveau NDA avec l’éditeur de logiciels. Ce NDA doit réaffirmer que seules les informations nécessaires à l’audit seront partagées entre les différentes parties.
Étape 5 – Négocier les termes de l’audit
Il faut veiller à bien détailler les informations à collecter et à inclure dans les rapports. Tous les produits de l’éditeur n’ont pas besoin d’être inclus dans l’audit. La création d’un répertoire précis des produits ou applis à inclure dans l’audit s’avère nécessaire.
Étape 6 – Collecter les données appropriées
D’après les termes et conditions définis à l’étape précédente, il faut donc collecter toutes les données pertinentes. Normalement, la plupart de ces données existent déjà et il est presque sûr que les personnes désignées à l’étape 3 seront utiles à cette démarche.
Étape 7 – Envoyer ces données à l’éditeur de logiciels (ni plus, ni moins)
Fournir à l’auditeur les données collectées, dans le délai fixé, en veillant à inclure ni plus ni moins de données que ce qui est absolument nécessaire. Les entreprises qui fournissent trop de données découvrent souvent que cela finit par leur nuire. S’il a été négocié de fournir uniquement les données d’une liste limitée d’applis et de produits, il ne faut surtout pas en fournir plus.
Étape 8 – Négocier les résultats
Une fois que les informations nécessaires ont été identifiées, évaluées et fournies à l’éditeur, le travail avec le service juridique doit se poursuivre pour négocier les résultats de l’audit avec l’éditeur. Ces résultats peuvent être des coûts de mise en conformité, des frais ou des amendes, ou une modification des termes du contrat. C’est une opportunité à saisir pour négocier des réductions pour gros volume ou pour diminuer les coûts. Ne pas se contenter d’accepter les propositions de l’éditeur. En étant conforme tous les ans, il est même possible, à terme, de faire supprimer les clauses d’audit de son contrat.
Étape 9 – Enregistrer les résultats
L’étape la plus importante consiste à enregistrer les résultats de l’audit. Quelles étapes ont fonctionné, lesquelles ont échoué ? Combien l’audit a-t-il coûté ou combien a-t-on économisé ? Quelles tactiques de négociation ont été utilisées et ont fonctionné ?
Étape 10 – Se préparer à l’audit suivant
Après avoir stocké les résultats, il faut veiller à modifier son plan d’audit des logiciels en conséquence, si nécessaire. Commencer immédiatement à préparer l’audit suivant.
Les étapes décrites ci-dessus sont conçues pour apporter une aide tout au long de l’audit. Il est conseillé de noter les étapes qui fonctionnent et celles qui ne fonctionnent pas, et de réutiliser les résultats pour l’audit suivant.
Avantages
La conception d’un plan d’audit des logiciels n’est pas très difficile, mais les avantages peuvent être énormes. Il suffit d’imaginer le temps et le stress économisés si l’on sait déjà quoi faire à l’arrivée de l’avis d’audit. En outre, en se préparant et en mettant en place une découverte automatisée proactive plus efficace, il est même possible d’évaluer le coût de l’audit à une centaine d’euros près. Qui n’aimerait pas pouvoir donner à son DSI et à son équipe de Direction le coût exact de l’audit, dès le premier jour ?
Ces plans sont également utiles pour limiter les amendes ou les frais de non-conformité. Les éditeurs de logiciels ne se soucient absolument pas des dommages que ces audits causent aux entreprises. Ils s’inquiètent seulement de l’argent qu’ils peuvent gagner.
