Audits de logiciel : Conseils et mises en garde

En quoi consiste un audit de logiciel

En règle générale, plutôt que de créer leurs propres solutions, les institutions financières achètent les droits d’utilisation de logiciels sous licence. Ainsi, la plupart d’entre elles signent des centaines, voire des milliers, de contrats de licence d’utilisation de logiciels avec les fournisseurs qui en détiennent la propriété. Ces contrats fixent les modalités de la licence, y compris le nombre d’utilisateurs autorisés, les restrictions d’utilisation, la durée de la licence et les autres droits. Souvent, ces contrats confèrent aux fournisseurs le droit de réaliser un audit ou un examen de conformité de l’utilisation du logiciel par le licencié. L’objectif de l’audit est d’évaluer si l’institution respecte les conditions d’utilisation prévues au contrat.

La réception d’un avis d’audit n’est pas nécessairement synonyme d’enjeux. Les fournisseurs mènent des audits pour diverses raisons, dont de simples vérifications de conformité. Mais ils peuvent aussi exercer leurs droits en matière d’audit lorsqu’ils soupçonnent le licencié de contrevenir aux conditions de la licence (comme utiliser un nombre de copies supérieur à celui autorisé), en vue de récupérer des frais de licence qu’ils estiment leur être dus ou encore pour exercer une certaine pression sur le client. Cette pratique est particulièrement fréquente à l’approche des renouvellements.

Que faire en cas d’avis d’audit

Les institutions financières doivent être en mesure de répondre à un audit avant même d’en recevoir l’avis. Pour ce faire, elles doivent mettre en place un système de suivi interne des droits associés à chaque licence ainsi qu’un contrôle périodique visant à vérifier la conformité. Cette approche permet d’éviter tout dépassement des droits concédés par la licence.

Après avoir reçu l’avis d’audit, les institutions doivent suivre deux étapes : examiner attentivement la demande et mener une enquête.

Examiner attentivement la demande

Le service juridique doit passer en revue le contrat original pour vérifier si l’audit en question est permis. Comme la demande d’audit ne peut pas excéder les droits conférés au fournisseur, le contrat peut représenter un motif valable de refus de certaines parties de l’audit. Les droits d’audit pourraient être limités dans le temps, liés à un contrat ou à un logiciel précis, ou encore être encadrés par des restrictions géographiques (p. ex. : le fournisseur peut-il se présenter sur place?) et techniques (p. ex. : peut-il accéder directement aux systèmes de votre institution?).

Après avoir analysé la demande, les institutions doivent collaborer avec le fournisseur pour clarifier et confirmer les renseignements recherchés. Ces discussions peuvent être l’occasion de limiter certaines parties de l’audit ou de convenir d’autres modalités (confidentialité, échéancier, etc.).

Mener une enquête confidentielle

Une fois la portée de l’audit bien définie – et avant la tenue dudit audit –, il convient de constituer une équipe, qui sera chargée de vérifier l’utilisation du logiciel. Les institutions doivent travailler avec leurs conseillers juridiques afin de respecter au mieux le privilège lié à cette enquête interne. L’audit peut faire apparaître un risque de litige, mais les clients ne doivent pas présumer que la période précédant l’audit sera couverte par le privilège relatif au litige.

Les audits soulèvent des questions juridiques et techniques complexes qui doivent être analysées sous plusieurs angles. Par exemple, un cas d’utilisation excessive peut dépendre de la définition et du mode de calcul d’un utilisateur dans le contrat de licence. L’analyse peut porter à la fois sur l’interprétation du contrat et sur des éléments factuels liés à l’utilisation, comme l’emplacement de l’utilisateur ou le fait que le logiciel soit utilisé dans un environnement de production. Répondre à ces questions difficiles requiert une analyse rigoureuse, notamment juridique, et la collecte d’informations factuelles. L’équipe d’enquête devrait également déterminer si l’institution détient d’autres contrats de licence avec le même fournisseur qui pourraient être invoqués pour justifier l’usage contesté.

Comment répondre à l’avis

Après avoir réglé les questions juridiques et recueilli, examiné et vérifié les données, l’équipe d’enquête doit déterminer s’il y a eu ou non un manquement aux conditions de la licence. Cette détermination guidera la réponse de l’institution à l’audit.

Dans le cas où elle ne trouve ni dépassement ni mauvaise utilisation, l’équipe doit préparer une réponse exposant ses conclusions et les justifications correspondantes. L’institution peut ensuite choisir de communiquer ce rapport au fournisseur et lui proposer de répondre à toute question, afin d’éviter à chacune des parties de devoir consacrer du temps et des ressources à la réalisation de l’audit.

Cependant, si l’équipe conclut à un dépassement, l’institution doit envisager une solution avec le fournisseur du logiciel. Les audits peuvent être reportés, mais ne peuvent pas être évités lorsque le contrat les prévoit. L’institution et son équipe juridique (interne ou externe) devront élaborer une stratégie pour régler le problème. Les fournisseurs adoptent fréquemment une position ferme, car ils considèrent les dépassements comme une menace pour leur modèle d’affaires et estiment être en position de force. Mais un tel avantage ne joue qu’à court terme. À long terme, l’institution peut se tourner vers d’autres fournisseurs, ce qui lui permettra de disposer de plus d’options et d’un meilleur pouvoir de négociation que ce que les premiers résultats de l’audit auraient pu laisser entrevoir.