Comment gérer les licences des logiciels installés par les salariés ? |
Dès que l’on souhaite accueillir les terminaux personnels des collaborateurs dans l’entreprise, il faut absolument se pencher sur la question des licences logicielles pour éviter de cuisantes déconvenues.
Dès qu’un logiciel est présent, les risques liés aux licences sont forcément tapis dans l’ombre. Si l’on souhaite accueillir les terminaux personnels des collaborateurs avec un projet BYOD (Bring Your Own Device), il faut donc se pencher sur la question pour éviter de cuisantes déconvenues. Il en va de même avec les petits logiciels gratuits que les employés peuvent installer sur les équipements fournis par l’entreprise, qu’ils en soient ou non administrateurs. Bring your own licence illégaleSi l’on ne parvient pas à endiguer un phénomène, autant en tirer profit. C’est notamment le cas avec ces équipements informatiques personnels que les employés introduisent discrètement dans les systèmes d’information d’entreprise depuis des années. Las de lutter, les DSI cèdent à une nouvelle mode : le BYOD (Bring Your Own Device). Certains se contentent de canaliser ces terminaux hétéroclites en veillant à la survie des équipes de support et à la sécurité de l’information : pas de support technique, connexion sur les accès Wi-Fi pour visiteur, etc. D’autres vont plus loin, comme dans cette grande organisation du secteur tertiaire dont je tairai le nom : · Les collaborateurs peuvent utiliser leur matériel préféré à la place de celui fourni par la DSI ; Remarquable exemple de modernité et d’ouverture, qui permet au passage de réduire les coûts de matériel, de logiciel et de support. Le tout est savamment enrobé d’une communication du plus bel effet vantant les mérites d’une transformation digitale soucieuse des collaborateurs et de leur bien-être. Comme d’habitude, le diable est dans les détails, en l’occurrence dans les conditions d’utilisation de la licence Microsoft Office à 13 €. En effet, elle couvre l’usage secondaire du logiciel sur un PC personnel si une licence entreprise est octroyée à l’utilisateur. Dans notre cas, l’utilisateur n’a plus de licence entreprise puisqu’il l’a restituée en même temps que son PC. Voilà comment une organisation peut pousser ses collaborateurs à agir illégalement, sans s’exposer directement puisque les logiciels et les terminaux incriminés ne lui appartiennent pas. Les employés mis en défaut par Microsoft pourront cependant prouver qu’ils ont respecté les préconisations relayées par leur hiérarchie. Il n’est pas certain que cela engendre l’atmosphère voulue : décontractée et propice au travail. La gratuité peut coûter cherUne autre situation classique, en apparence anodine, peut faire des remous si l’on n’y prend pas garde : les logiciels gratuits, si pratiques et si sympathiques. Ainsi, un collègue m’a récemment présenté les bienfaits d’un petit freeware qui le comblait d’aise. Il m’a vivement conseillé de l’installer sur mon PC professionnel. Je l’ai donc téléchargé depuis le site de l’éditeur. Avant de lancer l’installation, j’ai lu les conditions d’utilisation (vous auriez évidemment fait la même chose à ma place). Au milieu de cette prose, j’ai découvert que le produit ne devait pas être utilisé en entreprise. Que l’on travaille sur un terminal personnel ou mis à disposition par la DSI ne change rien puisqu’il s’agit toujours d’un usage « en entreprise ». Utiliser ainsi la version gratuite du logiciel est donc illégal. Disposer des droits d’administrateur sur son ordinateur n’est pas forcément nécessaire pour installer un tel produit. L’entreprise peut donc se retrouver dans une posture inavouable, même si elle a correctement sécurisé son parc informatique. Pour mettre un peu de piment, ajoutons que ces installations occultes passent inaperçues lors des inventaires logiciels, puisqu’ils sont le plus souvent conçus pour détecter ce qui est connu, et non pour découvrir l’inconnu. De nos jours, les logiciels communiquent presque tous avec leur éditeur via Internet au moyen de protocoles réseau qui franchissent allègrement les dispositifs de sécurité. Il peut s’agir de rechercher des mises à jour ou de fournir des données vous concernant. C’est légal puisque spécifié dans le contrat de licence accepté de facto lors de l’installation, qu’il ait été lu ou non. Il suffit alors d’un nombre significatif de PC communiquant depuis votre réseau d’entreprise pour mettre la puce à l’oreille de l’éditeur. Il a alors tout le loisir de vous retrouver grâce à vos adresses IP publiques et de réclamer le manque à gagner en faisant jouer la clause d’audit inscrite, elle aussi, aux conditions générales d’utilisation. Elle lui offre en effet la possibilité de contrôler votre système d’information pour vérifier que les logiciels utilisés sont dûment payés. Les petits logiciels gratuits peuvent ainsi coûter fort cher à des DSI qui en ignoraient jusqu’à l’existence car les grands éditeurs ne sont plus les seuls à développer leurs ventes par un nouveau canal : l’audit. L’effort fait les fortsCes deux cas d’école montrent que la compréhension des contrats de licences est indispensable pour éviter des complications désagréables. C’est par ailleurs un préalable à la gestion des actifs logiciels (Software Asset Management, SAM). Comment, en effet, maîtriser le droit d’usage contractuel d’un produit dont on ignore le contrat ? En ces temps de crise, la chasse au manque à gagner est ouverte pour de nombreux éditeurs. Tout changement impliquant l’informatique concerne forcément des composants logiciels. Il convient donc d’être prudent et de prendre en considération leur dimension contractuelle. Bien des projets ont vu leur retour sur investissement réduit à néant, voire inversé, après un audit d’éditeur. En définitive, qu’il s’agisse d’adopter le BYOD, d’utiliser un freeware ou de transformer le système d’information, le SAM renforce la position du client face aux éditeurs de logiciels car, comme disait Marcel Pagnol : « Comme on est faible quand on est dans son tort ! »… [Lire la suite]
|
Pour nous, dans notre société, il est formellement interdit pour les employés de se munir d’un quelconque outil numérique personnel au bureau. Et sur leur machine, ils ne disposent d’aucune autorisation d’installation. Tous les comptes sont « invités » et seuls les informaticiens ont le droit d’admin. C’est une technique pour nous de limiter au maximum la perte de données par l’intrusion d’un virus via un support externe.