bakhtiarzein - Fotolia

Comment bien gérer un audit Microsoft, selon Gartner

Les analystes Gartner, Ben Jepson et Victoira Barber, listent 7 étapes à suivre pour gérer efficacement un audit Microsoft et en limiter l’impact.

Clauses mouvantes et difficiles à comprendre, périmètre indéfini, méconnaissance de ses droits et des risques courus…un audit de Microsoft peut être un véritable parcours du combattant et monopoliser d’importantes ressources en interne. Dans une note d’analyse, que s’est procuré en exclusivité LeMagIT, le cabinet d’étude Gartner donne quelques pistes et recommandations qu’il convient de suivre pour « survivre à un audit de Microsoft » (nom de ladite note).


Comme nombre d’éditeurs cadres de l’IT, Microsoft a entrepris ces derniers mois de densifier ses politiques d’audits auprès des entreprises – ce qu’Oracle aurait d’ailleurs également entrepris. Si l’on en croit Gartner, les questions relatives aux audits Microsoft ont progressé de 78% ( !) sur la période septembre 2015 et août 2016. Bref, il convient de s’y préparer et d’opter pour une démarche pro-active, voire de mettre en place des pratiques de Software Asset Management (SAM).

Ben Jepson et Victoira Barber, les deux auteurs de ce rapport, ont ainsi identifié 7 étapes qui livrent  une méthode structurée pour répondre à un audit menée par l’éditeur de Redmond, que ce soit un audit formel, mené par un cabinet indépendant ou bien une auto-évaluation.

Dans sa première recommandation, Gartner invite les entreprises à vérifier tous les détails contractuels de Microsoft pour connaître les dispositions relatives aux audits et à la conformité ». Il s’agit de comprendre de quel type d’audit on parle et de ce qui entre en jeux. Si l’on doit, par exemple, se conformer à un audit formel, l’entreprise a le droit de refuser une demande portant sur un engagement de SAM volontaire. Logiquement – et ce sera la 2e étape -, l’audit devra être effectué « conformément à votre gouvernance et vos processus établis en la matière », note les deux analystes.  « Il va sans dire que Microsoft a le droit d’auditer, mais les clients doivent contrôler et gérer la portée et le processus d’audit », appuient-t-ils. Les entreprises doivent par exemple d’assurer qu’il y ait un impact minime s’agissant de la disponibilité et des impératifs des ressources, qu’une entente est trouvée « sur la portée et les éléments livrables » et que « les méthodologies utilisées pour mener l’audit soient bien comprises ». 

Gartner recommande également de s’assurer qu’il n’y ait pas de conflit d’intérêts. « Pour les audits formels, Microsoft fait principalement appel aux quatre plus grands cabinets comptables, alors assurez-vous  que l’auditeur nommé n’est pas aussi votre auditeur financier. »

Confronter vos données et mettre à jour les dossiers

Il s’agira ensuite de comparer les informations détenues par Microsoft et celles détenues par l’entreprise. « Tous les clients des licences en volume ont accès au Centre de gestion des licences en volume (VLSC) de Microsoft, où ils peuvent retrouver les documents relatifs à leurs contrats et leurs achats de licences », explique Gartner. Quant aux clients qui ont signé de nouveaux contrats MPSA, les informations sont accessibles via le portail du Centre d’affaire pour les licences en volume. Globalement, des données détaillées peuvent aussi être fournies via le relevé de licences Microsoft (MLS). « C'est à partir de ces données que Microsoft ou son auditeur tiers évaluera la conformité », assurent les analystes.

Même son de cloche pour les dossiers sur les attributions des licences. Le cabinet recommande de les tenir à jour « en fonction des impératifs contractuels ». « Il est important de conserver des dossiers sur les attributions et que les processus de gestion des changements incluent la mise à jour de ces dossiers, afin de démontrer le respect systématique des règles d’attribution », notent précisément les analystes.

« Ces modèles de concession de licence, métrologies d’achat et droits complexes d’utilisation des logiciels qui sont différents et ne cessent de changer renforcent encore plus la nécessité d’avoir des dossiers sur les attributions précis et à jour », ajoutent-ils plus loin.

Dernière partie des recommandations de Gartner, le périmètre de l’audit et quels logiciels doivent bénéficier d’une priorité en matière de mise en conformité. Le cabinet conseille d’identifier précisément tous les produits couverts par l’audit, versions et éditions. Et pour cela, Gartner recommande de se doter d’un mécanisme qui « garantit que tous les appareils sont couverts et vous pouvez le démontrer. » Les données issues des outils d’inventaires peuvent ainsi être considérées comme une mesure pour l’éditeur. Données qu’il peut croiser avec d’autres, comme les services d’annuaires.

Et l’histoire peut se compliquer pour ce que Gartner appelle « des produits à haut risque ayant des modèles complexes de concession de licence ». Une complexité apportée par exemple avec les licences utilisateurs (CAL). « L’incapacité des clients à dénombrer les CAL est la raison pour laquelle leurs problèmes de conformité avec Microsoft perdurent. Comme les CAL sont des droits d’accès, plutôt que des produits logiciels, leur suivi, leur gestion et la vérification des droits appropriés par rapport à la version s’avèrent problématiques », illustrent encore les deux analystes.

Autre exemple mis en avant : « les clients Microsoft Dynamics n’ont souvent pas conscience de l’impact des règles d’accès indirect, qui stipulent que dès lors que vous déplacez des données CRM ou AX via un processus automatisé (lien actif, traitement par lot ou multiplexage), quiconque accède aux données requiert une licence. »

Gartner recommande enfin aux entreprises que pour limiter l’impact d’un audit, la meilleure défense est encore d’avoir une politique de SAM (Software Asset Management), robuste et pro-active.

Pour approfondir sur Gouvernance et qualité (Itil)