Le club relations fournisseurs de l’association représentative des grandes entreprises et administrations publique française (Cigref) met à jour sa charte de bonnes pratiques pour l’audit de licences logicielles. Avec l’adoption du cloud, cela pourrait sembler de moindre importance mais il suffit d’une vulnérabilité comme Log4Shell pour remettre les priorités au bon endroit. Et puis, comme le souligne le Cigref, tout n’est pas cloud : « Les organisations utilisatrices de services numériques s’engagent majoritairement dans une démarche de cloud hybride et (…) leur trajectoire de migration dans le cloud s’inscrit sur plusieurs années. Il leur faut donc composer avec le SI patrimonial et en particulier, le parc logiciels on-premise existant, tout en adoptant les nouveaux modèles de licences et de facturation liés à la consommation de services dans le cloud ».
La structure de la charte reste identique, en 6 volets, depuis sa dernière mise à jour en 2015 : prévention des risques, bonne foi, limitation des perturbations, périmètre et modalités, recours à des tiers auditeurs, conclusion.
Quelques éléments changent, repérés par notre confrère de Silicon : l’ajout d’une référence au RGPD, le fait qu’« une entreprise qui accepte de recourir au script de son éditeur de logiciel doit […] avoir accès au code du script qu’elle déploie » mais aussi la mention qu’un « éditeur recourant à un auditeur tiers ne pourra faire peser le coût de la mission d’audit sur son client ». Et enfin le rappel du Cigref que voici : « La migration dans le cloud ne protège pas entièrement les clients des audits puisqu’il convient de vérifier la conformité de l’utilisation avec les usages prévus au contrat ».