Juridique

Gestion des actifs logiciels (SAM) : comment payer le juste prix

Philippe Coppolani, Responsable Gestion des Fournisseurs IT à la DOSI du PMU (Paris Mutuel Urbain), est maintenant mieux armé en cas d'audit de licences.

Le Crédit Agricole et le PMU ont témoigné de leur usage des solutions de Flexera Software à l'invitation de l'éditeur le 14 mars 2017.

PublicitéRéaliser une bonne gestion des actifs logiciels (SAM) évite de tomber sous le coup de la double peine de la sur- et de la sous-conformité (voir encadré). C'est ce qu'ont confirmé Eric Dewilde, Directeur Licensing et innovation du Credit Agricole SA, et Philippe Coppolani, Responsable Gestion des Fournisseurs IT à la DOSI du PMU (Paris Mutuel Urbain), en témoignant le 14 mars 2017 à l'invitation de leur fournisseur de SAM, Flexera Software.
Pour Eric Dewilde, le programme PADDLE (Programme d'Automatisation des Droits des Licences et Echanges), toujours en cours, a trois objectifs : créer une fonction de gestion du patrimoine applicatif, maîtriser les risques de conformité et, bien sûr, réduire les coûts. « Sur les 330 millions d'euros de dépenses annuelles en logiciels, nous voulions gagner 10 % » a indiqué Eric Dewilde.

La transversalité, clé de la réussite de la mise en place d'une SAM

Dans le cadre de PADDLE, un responsable de la gestion du patrimoine applicatif a été désigné dans chaque entité du groupe. Celui-ci est distinct de la DSI et des achats tout en étant proche de la direction. L'objectif de ce positionnement original est de garantir la transversalité de la vision, sans privilégier l'aspect technique ou les impératifs des achats. Pour Eric Dewilde, « s'il n'y a pas une telle transversalité, s'il n'y a pas de confiance entre les achats et la DSI, ce n'est pas la peine de se lancer dans un projet de SAM ou même de s'équiper en outils. »
Avant PADDLE, il existait 18 systèmes différents de mesure du patrimoine applicatif et aucun n'était complet. Les solutions de Flexera Software les ont tous remplacés. L'outil a été installé en central, dans le datacenter, et contrôle toutes les connexions. « De ce fait, les utilisateurs de Flexera ont une vision complète du SI, ce qu'il ne faut pas oublier » a averti Eric Dewilde. Mais cette vision a permis de disposer de vrais leviers de négociation avec les éditeurs tout en n'investissant que sur ce qui est nécessaire. Pour Eric Dewilde, « le profil d'un gestionnaire de patrimoine applicatif doit lui-même être transverse, à la fois juridique, IT et achats, avec une vraie appétence pour la négociation. »

Une action en continue

Le fait de disposer d'une solution à demeure au lieu de recourir ponctuellement à des consultants entraîne de moindres coûts et permet un contrôle permanent ou, en tous cas, régulier. « Je le fais tous les mois et, à chaque fois, je trouve des choses » a souligné Eric Dewilde. L'un des problèmes souvent négligé est celui des logiciels inutilisés mais installés « par précaution » PADDLE n'en est qu'au début et son déploiement sera achevé en juin 2017. Et les optimisations s'opèrent par itérations concentrées chacune sur un fournisseur. Quatre cycles ont déjà eu lieu et les coûts en jeux se chiffrent en millions d'euros.
Le premier niveau de maîtrise du patrimoine applicatif correspond à la collecte des informations autant sur les logiciels que sur les matériels. Le deuxième amène à identifier et normaliser les besoins. Enfin, il faut optimiser. La majorité des spécificités des contrats peut être intégrée pour être visible dans des rapports et le Crédit Agricole préfère écarter toute spécificité dans son implémentation de la SAM.

PublicitéUne obligation d'efficience

Au contraire du Crédit Agricole, le calcul d'un ROI n'a pas été envisagé au PMU. « On ne s'est pas préoccupé du ROI parce qu'on a pensé qu'au premier audit de licence nous y gagnerions » a expliqué Philippe Coppolani. Le PMU continue de tirer l'essentiel de son chiffre d'affaires des paris hippiques (environ 9 milliards d'euros), loin devant les paris sportifs (environ 280 millions d'euros) ou même le poket (environ 560 millions d'euros). Dans toutes ces activités, l'essentiel est la fiabilité. Philippe Coppolani a relevé : « nous perdons un million d'euros de chiffre d'affaires pour dix minutes d'arrêt du SI. Le PMU est donc pratiquement une société d'informatique. »
Avant la mise en place d'une SAM, le PMU gérait une cartographie manuelle avec, pour chaque application, une fiche d'identité et un responsable nommé, chargé notamment de mettre à jour les informations sur l'application dont il est en charge. Les informations étaient compilées dans un fichier Excel partagé. Les informations n'étaient pas toujours de la plus extrême fraîcheur et la conformité n'était donc pas toujours parfaite. Certes, aucun audit ne s'était révélé catastrophique mais les coûts étaient tout de même significatifs. Surtout, la gestion manuelle était très chronophage.

Se défendre en cas d'audit avec de bonnes armes

Trois enjeux avaient été identifiés pour la mise en place d'une SAM. Bien entendu, il s'agissait d'optimiser la dépense, d'industrialiser la gestion (donc de baisser le temps consacrée à cette activité) et enfin de réduire le risque en améliorant la conformité. Lors d'un appel d'offres au premier semestre 2016, plusieurs solutions ont été identifiées. Deux ont fait l'objet d'un démonstrateur. C'est finalement la proposition de l'éditeur Flexera Software avec l'intégrateur Amettis qui a été retenue. Outre le coût et la couverture des besoins (gestion de tous les logiciels), cette proposition avait aussi l'avantage de la simplicité de déploiement et d'utilisation. « C'est en effet une version sans agent que nous avons choisi » s'est souvenu Philippe Coppolani.
Simultanément au lancement du projet, en juin 2016, a été réalisé un audit de maturité SAM. 125 questions ont ainsi été examinées, à raison de 25 pour chacun des 5 axes, organisation, processus, conformité, outillage et optimisation. Philippe Coppolani a attesté : « l'audit de maturité est un facteur clé de succès en relevant des points d'amélioration. » L'installation s'est faite durant l'été et des campagne de contrôle ont été menées ensuite, grand éditeur par grand éditeur : IBM, Oracle, Microsoft fin 2016 et, début 2017, VMware et Axway. Les prochaines étapes vont être d'adapter les processus, d'étudier les axes d'optimisation et de continuer l'analyse des autres contrats. Il faut en effet saisir les contrats dans l'outil pour que celui-ci puisse comparer le théorique et le réel, d'où la nécessité d'un déploiement progressif. Mais, ensuite, la conformité est bien entendu régulièrement surveillée. Le projet a nécessité 40 jours.hommes de consulting en plus de la mobilisation ponctuelle d'équipes internes.

Les gains pas encore calculés

Philippe Coppolani a conclu : « nous n'avons pas encore mené de calcul sur les gains mais cela nous permet d'avoir au moins un coup d'avance sur les audits. Par exemple Flexera a remonté un problème sur une installation réalisée il y a dix ans sur une machine monoprocesseur monocoeur qui a été transférée sur une machine moderne mais, de ce fait, multicoeur, donc avec des licences différentes. »

Sur le même sujet, la Matinée Stratégique Optimiser le quotidien des utilisateurs : de l'ITSM au sourcing : maîtriser les coûts et la sécurité organisée par CIO aura lieu le 17 mai 2017 à Paris.

Double peine de la mauvaise gestion des licences : sur- et sous-conformité

Faute d'une bonne gestion des actifs logiciels (SAM, Software Asset Management), les entreprises peuvent payer trop (sur-conformité) ou pas assez (sous-conformité) de licences et de contrats de maintenance par rapport aux usages réels. Dans le premier cas, il y a évidemment matière à réduction des coûts, dans le second il y a risque financier en cas d'audit. Et les deux situations peuvent se présenter simultanément dans la même entreprise, qui s'inflige donc alors une double peine. « Les entreprises ont besoin de maîtriser le patrimoine applicatif » a plaidé Nicolas Rousseau, consultant chez Flexera Software, éditeur de FlexNet Manager et FlexNet Manager Suite, deux solutions de SAM, lors de l'événement du 14 mars 2017. Selon lui, la simple évaluation des gains sur la sur-conformité permet de justifier les investissements en matière de SAM. Notons que les licences des solutions de Flexera se comptent à la machine réelle ou virtuelle.

Plusieurs cas anonymisés ont été présentés le 14 mars 2017. Dans le premier, une virtualisation massive avait abouti à une forte augmentation du coût des licences Oracle suite à un audit. Un bilan réalisé a permis de détecter les machines virtuelles inutilisées et les mix de licences aboutissant à des redondances de couverture des usages. L'optimisation effectuée a permis des gains de plusieurs millions d'euros. Un deuxième cas concernait SAP. Une mauvaise gestion des comptes dans un contexte de forte croissance externe avait entraîné un surcoût considérable. La mise en place d'une SAM pour choisir les bons types de comptes, supprimer les comptes inutiles, etc. a permis de réduire les coûts de 146 millions d'euros sur un total de 310. « Nous gérons les accès indirects depuis plus de dix ans » a précisé Nicolas Rousseau. Enfin, dans le troisième cas, un examen des solutions Microsoft a amené à choisir les bonnes licences Windows Server et à désinstaller des logiciels Visio et Project non-utilisés et non-payés, éliminant ainsi un risque financier important.

Sur le même sujet, la Matinée Stratégique Optimiser le quotidien des utilisateurs : de l'ITSM au sourcing : maîtriser les coûts et la sécurité organisée par CIO aura lieu le 17 mai 2017 à Paris.