Gouvernance
Bonjour ! On vient vous auditer…
Par Mathieu Flecher, publié le 15 janvier 2018
Derrière la pratique de l’audit de conformité de licence se cache aussi parfois des pratiques peu banales de collecte de données, qui servent à enrichir les données des sociétés auditrices, et parfois d’abus dans les pratiques d’audit. Mon conseil ? Prenez un avocat…
J’ai dû me faire auditer trois ou quatre fois dans ma vie de DSI. L’exercice est anxiogène la première fois, habituel la deuxième et finalement à la troisième… c’est un peu comme la TVA. On finit par s’habituer et à prendre du recul et ne pas les considérer comme une Police d’un état totalitaire.
Nous avons des devoirs – être garant de l’intégrité et de la bonne gestion de nos licences – mais aussi des droits. Les sociétés sont bien trop souvent considérées comme des vaches à lait. Notre avocat compare ces audits à des criquets. Oui oui, des criquets ! Ils se déplacent de continent en continent et lancent à l’aveugle des audits au grand dam parfois de leurs propres forces commerciales. Quand ils repartent, ils laissent des sociétés abusées et qui, parfois, bien qu’elles soient dans leur bon droit, préfèrent s’incliner et payer. Jusqu’au jour où cela ne vous amuse plus d’être ponctionné.
Amis DSI, ne vous laissez pas faire
Durant ces dernières années nous avons été audités par un très grand nom de l’informatique. Un des big 4 de l’audit s’est présenté par mail pour m’expliquer que nous allions être audités sur demande de son client. Soit. Sur l’ensemble du périmètre applicatif. Là où les choses se sont compliquées c’est qu’ils ont voulu faire tourner sur nos serveurs des programmes exécutables dont on ne connaissait pas l’origine pour aller piocher de l’information dans notre Active Directory (qui n’est en aucun cas un produit de l’éditeur à l’origine de l’audit).
Cela me pose plusieurs problèmes. Le premier c’est : qui me garantit que cet exécutable fait réellement de l’audit et quid des dommages causés en cas de dysfonctionnement ? Le deuxième problème, c’est évidemment : de quel droit un éditeur peut auditer un logiciel d’un éditeur tiers sous couvert d’un audit de son propre logiciel ? Nous avons refusé. Il se sont tapé l’Active Directory à la main.
Amis DSI, ne vous laissez pas faire. Derrière cet exemple, méfiez-vous de la donnée que l’on vous ponctionne. Ne pensez pas que nous leur devons tout. Soyez intransigeant sur leurs pratiques ! Et surtout… il y a des avocats spécialisés pour vous épauler, que vous soyez coupables ou non. Pour information, cet audit a révélé une utilisation abusive des droits d’administration sur trois comptes d’un logiciel. Avec les arriérés de maintenance, cela représentait 150 K€ de pénalité. Avec l’aide d’un avocat spécialisé nous avons limité la pénalité à 50 K€. Alors, rentable ou pas de bien s’entourer ?