Une discussion récente sur notre Forum a lancé un débat sur ce qui constitue une preuve de droit de licence. Cet article explore ce débat plus en détails, offrant des conseils pratiques pour enregistrer les droits de licence sur votre système SAM afin de générer des ELP (Effective License Positions) et de répondre avec assurance aux demandes d’audit.

Qu’est-ce qu’un droit de licence ?

Un droit de licence est le résultat d’un contrat exécuté entre votre organisation et l’éditeur du logiciel. Il vous donne le droit d’utiliser le produit conformément aux conditions listées dans le contrat de licence au point d’achat. En bref, le droit de licence vous donne le droit d’utiliser une certaine quantité du produit, d’une certain façon, pour une certaine période de temps.

Aux fins de cet article, nous mettrons de côté les nuances de l’accord de licence, les éléments tels que la situation géographique, les quantités minimales, les restrictions de transfert, les droits de réaffectation de licences, etc. Tous ces points doivent être pris en considération mais cet article se concentre sur les façons de prouver que, par exemple, vous êtes le propriétaire de 100 licences principales de serveur SQL.

Types de preuve

Les preuves de droit de licence peuvent comprendre ce qui suit :

• Portails en ligne d’éditeur (par ex. IBM Passport Advantage, Microsoft VLSC)
• Rapports de droit de licence de l’éditeur
• Support physique
• Numéros de série uniques
• Factures de revendeur
• Documents d’achat direct (par ex. achats d’un produit disponible sur le marché hors d’un programme d’achat)
• Certificats de licence
• Documents de Fabricant d’équipement d’origine (FEO) (pour les licences fournis avec le matériel)
• Transfert de licence/documents de réaffectation

Evaluer la qualité de la preuve de droit de licence

Aucun des éléments ci-dessus n’est à toute épreuve. Les portails d’éditeur sont rarement fiables, les supports physiques peuvent être falsifiés, les numéros de série peuvent provenir d’un générateur de clé illégal, les factures de revendeur peuvent être imparfaites, les étiquettes FEO peuvent être contrefaites.

Ainsi, vous devez évaluer la qualité du droit de licence sur laquelle vous vous reposez pour établir les faits de votre ELP dans des conditions d’audit interne ou externe. Il est donc utile de réfléchir à ce qu’un auditeur considérerait comme preuve de droit de licence acceptable. Si vous avez été soumis à un audit, il est possible que vous vous soyez retrouvé dans l’impasse « je te montrerai la mienne si tu me montres la tienne ». Selon mon expérience, il est certain que les éditeurs et leurs auditeurs sont souvent réticents à se déclarer quant à ce que, selon eux, vous êtres en droit d’utiliser. Pourquoi ? Et bien, la charge de la preuve d’un point de vue contractuel incombe au titulaire de licence. Cependant, en coulisses, le réel problème est que les éditeurs eux-mêmes ont des registres incomplets, peu fiables et inexactes de votre droit de licence. Par exemple, le MLS fourni par Microsoft (leur résumé de votre preuve de droit de licence) n’est pas mis à jour pour prendre en compte les transferts de licence. Microsoft fournira un document de transfert de licence à la réception des documents nécessaires et cela constituera votre seul preuve de transfert. Facilement perdu ou oublié par les deux parties.

Pour cette raison, la meilleure approche est d’établir la certitude, et la façon de le faire est d’établir une chaine d’évidence constituée à partir de sources multiples. La prochaine section de cet article se penche sur la façon de le faire.

Établir les droits de licence

Portails d’éditeur

Malgré des inexactitudes potentielles, comme point de départ, vous devriez faire la demande d’informations relatives à votre droit de licence auprès de l’éditeur ou les recueillir sur leur portail en libre-service. Il peut s’agir d’un exercice qui prend beaucoup du temps, particulièrement pour les droits de licence détenus depuis longtemps, car ils seront répartis sur de multiples programmes d’achat de licence en volume, entités d’un groupe, etc. Cependant, une fois fait, vous avez un droit de licence de base raisonnable. Concrètement, vous pouvez décider de vous arrêter là, particulièrement si votre usage est significativement inférieur à votre droit de licence. N’oubliez pas que les auditeurs auront un dossier incomplet car ils se reposeront sur les même données fournies par l’éditeur que vous.

Selon mon expérience, la qualité des documents du fournisseur varie.  Je les classerais arbitrairement (par ordre d’exhaustivité et d’exactitude) comme suit, mais il s’agit seulement d’un sous-ensemble des éditeurs pour lesquels j’ai dû prouver un droit de licence.

N’hésitez pas à partager vos propres expériences dans les commentaires.

• VMWare
• IBM
• Microsoft
• Adobe
• Autodesk
• Oracle
• Symantec/Veritas

Factures

Votre prochaine étape devrait être de consulter vos factures, si vous les avez. Comme l’a déclaré Kylie Fowler de ITAM Intelligence dans le fil de discussion du forum :

« Une facture est un document légal et les pratiques comptables et légales font que si une facture a été émise, elle a presque certainement été payée… …une note de crédit a pu être émise mais c’est rare et, pour être honnête, lors d’un litige au cours d’un audit, c’est à l’éditeur que revient toujours la responsabilité de prouver que la note de crédit existe, et non de prouver qu’elle n’existe pas. Il est impossible de prouver un négatif. »

Kylie a également déclaré que dans des conditions d’audit

« un rapport montrant la date d’achat, le numéro de facture, ce qui a été acheté etc. était une preuve suffisante pour prouver que nous avions acheté la licence avec le soutien et la maintenance qui l’accompagnent. »

Concrètement, cela veut dire qu’il vous est conseillé de garder les factures aussi longtemps que vous utilisez le logiciel. Vous devriez également vérifier vos factures à la réception pour confirmer que les quantités, les descriptions de produit et les unités de gestion des stocks reflètent précisément ce que vous avez acheté. Confirmez également que la licence vous a été allouée correctement par le revendeur. Il est tout aussi important que vous consigniez également avec exactitude ces informations dans votre outil SAM. Il est très facile de se tromper, par exemple, les licences principales Microsoft vendues par deux, ou confondre une LAC basée sur l’appareil et une LAC basée sur l’utilisateur. Dans le cadre de votre accord avec votre revendeur, il peut être judicieux de négocier un standard minimum pour la qualité de facturation. Pour les éditeurs avec des unités de gestion des stocks, assurez-vous que le revendeur inclut l’unité de gestion des stocks sur la facture. Cela constitue une amélioration considérable de la certitude de la preuve.

Documents physiques

Les documents physiques comprennent un média, des boîtes, des certificats, des numéros de série et des clés de produit. Historiquement, ceux-ci constituaient la source primaire de preuve de droit de licence, et c’est toujours le cas pour certains fournisseurs, particulièrement si votre organisation n’achète pas par le biais de programmes de licence en volume. Je suis sûr qu’un grand nombre d’entre vous avez des armoires de classement remplies de vieilles boîtes avec des certificats de licence décolorés. Étant donné l’augmentation de la contrefaçon et la facilité d’acquisition de produits contrefaits, les documents physiques sont une source médiocre de preuve de droit de licence. Nous n’avons pas l’expertise pour confirmer qu’un numéro de série est valide, ou qu’un support physique « avec hologramme » est en effet authentique. Toutefois, pour certains éditeurs, c’est tout ce que vous aurez, et pour vous assurer de votre droit de licence, il vous est conseillé de faire une référence croisée du document physique et de l’exemplaire de la facture ou du numéro du bon de commande (BdC). Prenez-en note sur la boîte ou le support.

Preuve supplémentaire

Nous nous dirigeons maintenant sur la longue queue des sources de preuve. Des numéros de série, une inscription sur une feuille de calcul, une affirmation d’un propriétaire ou utilisateur de produit qu’il détient une licence, ce genre de chose. Si vous vous trouvez dans cette situation parce que vous cherchez toujours le droit de licence afin de rectifier une lacune, il est peut-être judicieux de voir s’il serait plus simple et plus rentable d’acheter de nouvelles licences. Dans des conditions d’audit, il sera difficile de s’appuyer sur un droit de licence qui ne se trouve pas sur des portails d’éditeur, ou sans facture ou bon de commande. Il est possible que vous deviez faire de gros efforts pour le trouver et le faire accepter par l’éditeur, et ce temps pourrait être utiliser pour créer de la valeur ailleurs. Il s’agit d’évaluer le risque et de le mettre en équation avec les coûts de découverte ou de rachat.

Enregistrer un droit de licence

Après avoir collecté vos sources de droit de licence, il est temps de les réconcilier et de les ajouter à votre système SAM. Votre objectif devrait être d’inclure autant d’informations de référence que possible concernant le droit de licence. Construisez une chaine d’évidence comme suit :

La facture devrait faire référence au BdC, et vous devriez également confirmer que l’unité de gestion des stocks corresponde à la Description du produit sur la facture et dans le catalogue de l’éditeur. Bien que cela dépasse la portée de cet article, vous devriez également enregistrer l’accord de licence et les droits d’utilisation du produit en vigueur au moment de l’achat et ajouter le support à votre Bibliothèque des logiciels définitifs. Idéalement, scannez la chaîne d’évidence et attachez-là à votre document de licence dans votre outil SAM.

Conclusion

Cela vous permettra de gagner un temps précieux par la suite lorsque vous recevrez une demande d’audit. Chaque lien dans votre chaîne d’évidence ajoute une certaine crédibilité à votre preuve de droit de licence. Si vous avez confiance en votre droit de licence, vous pouvez réagir rapidement aux demandes d’audit et avoir une image professionnelle après de vos partenaires internes et des auditeurs.