Se défendre face aux audits des éditeurs logiciels : Microsoft, Oracle, Adobe
Quand la lettre d'audit arrive, vous avez 30 à 60 jours pour assembler les livrables. Bien préparé, l'audit se clôture à votre avantage ou à zéro. Mal préparé, vous signez une régularisation à six chiffres. Voici le guide défendable pour chaque grand éditeur.
Microsoft, Oracle, IBM, Adobe, SAP et Autodesk ont tous des programmes formels d'audit de licences. Le droit d'audit est dans votre accord-cadre ; le refuser n'est pas vraiment une option. Ce qui est optionnel, c'est d'arriver préparé ou en panique.
La structure de l'audit est cohérente entre les éditeurs : scan de découverte, revue des droits de licence, calcul des écarts, proposition de régularisation. L'astuce est de savoir ce que chaque éditeur cherche et où se trouvent les lignes négociables.
Le guide de défense général (tout éditeur)
- Accusez réception par écrit, mais ne vous engagez pas encore sur un calendrier. Formulation type : « Nous accusons réception et répondrons dans les 10 jours ouvrés avec un calendrier proposé. »
- Impliquez le juridique et les achats. Les audits sont régis par l'accord-cadre ; la plupart ont des clauses de préavis, de périmètre et de raisonnabilité. Lisez-les.
- Formez une petite équipe d'audit : un responsable IT, un responsable finance, un responsable juridique. Point de contact unique avec l'éditeur.
- Effectuez votre propre découverte en premier. Avant de laisser l'éditeur scanner, sachez ce qu'il trouvera. Réconciliez avec les droits. Identifiez les écarts et préparez l'explication.
- Limitez le périmètre. La clause d'audit est rarement aussi large que la première demande de l'éditeur. Négociez les tailles d'échantillon, les périodes et les entités dans le périmètre.
- Fournissez ce qui est requis, pas plus. Ne volunteeriez pas de données. N'accordez pas d'accès au-delà du périmètre contractuel.
- Contestez les constats. La sortie brute de la découverte n'est pas le chiffre final. Appliquez les droits contractuels, les clauses d'utilisation raisonnable, les déclassements de version et les preuves de décommissionnement.
- Négociez la régularisation. Même un écart confirmé est rarement payé au tarif catalogue. Des remises de 30 à 60 % sur la régularisation déclarée par l'audit sont normales si vous avez du levier.
Microsoft (audit SAM / SPLA / EA)
Les audits Microsoft passent par des tiers certifiés (Deloitte, KPMG, EY) dans le cadre du programme SAM (Software Asset Management). Ils se concentrent sur :
- Licence serveur — Windows Server, SQL Server, notamment les erreurs de comptage basées sur les cœurs.
- Licence utilisateur Office 365 / Microsoft 365 — postes attribués vs consommés.
- Scénarios VDI / RDS où les utilisateurs accèdent à distance aux logiciels bureautiques.
- Mauvais usage SQL Server Enterprise vs Standard (fonctionnalités Enterprise utilisées sur licences Standard).
Où se trouvent habituellement les écarts
- Hyper-threading et virtualisation : la licence par cœur nécessite de compter les cœurs, pas les VM. Cette incompréhension génère ~40 % des constats Microsoft.
- Fonctionnalités SQL Server : des fonctionnalités comme Always On, In-Memory OLTP nécessitent Enterprise ; les utiliser sur Standard est le deuxième constat le plus fréquent.
- Sur-attribution O365 : utilisateurs désactivés consommant encore des licences.
Le levier de défense
Microsoft offre des droits de License Mobility et de déclassement. Un constat indiquant l'utilisation de fonctionnalités Enterprise peut parfois être remédié en passant à Enterprise puis en déclassant, ou en réattribuant des licences dans le parc. Vérifiez toujours si vous avez des licences Enterprise non utilisées ailleurs avant d'accepter d'en acheter de nouvelles.
Oracle (audit LMS)
Les audits Oracle License Management Services (LMS) sont les plus agressifs du secteur. Ils se concentrent sur :
- Base de données — utilisation des fonctionnalités Standard Edition vs Enterprise Edition.
- Java SE — oui, Java est maintenant soumis à licence ; attendez-vous à un scrutin.
- WebLogic, Middleware — packs basés sur les fonctionnalités.
- Virtualisation — VMware en particulier. Position d'Oracle : l'intégralité du cluster vSphere doit être licenciée sauf partitionnement physique. C'est contesté mais coûteux à combattre.
Où se trouvent habituellement les écarts
- Fonctionnalités Enterprise Edition sur Standard : partitionnement, sécurité avancée, real application clusters.
- Java SE : toute installation Oracle JDK postérieure à janvier 2019 nécessite probablement un abonnement.
- Comptage des hôtes VMware : le litige porte sur la question de savoir si tout hôte qui pourrait exécuter une VM Oracle doit être licencié.
Le levier de défense
Les constats Oracle incluent fréquemment des positions contestées (surtout sur la virtualisation). Documentez le partitionnement dur, les clusters avec vMotion désactivé, et tous les aménagements contractuels négociés. Si vous n'avez pas de couverture ULA (Unlimited License Agreement), le moment de négocier peut être pendant l'audit — Oracle échangera des constats contre un ULA pluriannuel dans de nombreux cas.
Le piège Java
Oracle Java SE est passé à l'abonnement en 2019. Beaucoup d'entreprises ont continué à utiliser Oracle JDK sans s'en rendre compte. Si votre parc développement tourne sur Oracle JDK (plutôt qu'OpenJDK ou Adoptium), vous avez une vraie exposition. Migrez vers OpenJDK avant l'audit, pas pendant.
Adobe
Les audits Adobe ciblent Creative Cloud et Acrobat. Ils se concentrent sur :
- Attribution des utilisateurs vs installation — Adobe vend par utilisateur ; vous n'êtes pas autorisé à installer sur plus d'appareils que la licence le permet.
- Utilisateurs simultanés sur des postes partagés.
- Licence éducation vs commerciale pour les organisations qui ont acheté une licence edu mais l'utilisent commercialement.
Le levier de défense
Adobe est très réceptif à un échange « nous nous réengageons à un niveau supérieur ». Les constats d'audit sont fréquemment absorbés dans un renouvellement à conditions favorables.
IBM, SAP, Autodesk — notes rapides
| Éditeur | Ce qu'ils examinent |
|---|---|
| IBM | Licence PVU (Processor Value Unit) sur les middlewares. La licence à sous-capacité nécessite ILMT (IBM License Metric Tool) en fonctionnement depuis 90+ jours avant l'audit. |
| SAP | Accès indirect / numérique — systèmes tiers appelant SAP. Le célèbre « cas Diageo » (régularisation de 55 M£) découle de cela. Documentez soigneusement les accès API. |
| Autodesk | Concurrent vs utilisateur nommé. Les enquêtes pour piratage sont parfois déclenchées par des signalements de revendeurs. |
L'hygiène pré-audit qui prévient 80 % des constats
- Enregistrement des droits de licence par éditeur : contrats téléchargés, quantités de droits extraites, dates valides.
- Données de découverte actualisées mensuellement : qui a quoi d'installé, où, depuis quand.
- Rapport de réconciliation : droits vs consommation, écarts mis en évidence avec explications.
- Preuves de décommissionnement : quand vous supprimez un déploiement, documentez-le. Les éditeurs comptabiliseront tout ce qu'ils peuvent prouver avoir été déployé.
- Clauses contractuelles extraites : délais de préavis, plafonds de fréquence d'audit, limites de périmètre.
Si vous pouvez produire tout ce qui précède sur demande, un audit devient de la paperasse. Sans cela, il devient une négociation partant du pire calcul de l'éditeur.
Comment InventorIA vous aide
InventorIA suit les droits de licence vs l'utilisation réelle en continu, pas seulement au moment de l'audit. Les intégrations Microsoft 365 / Adobe / Oracle / Salesforce alimentent automatiquement la consommation des postes ; l'analyse des contrats extrait les quantités de droits des PDF. Résultat : quand la lettre d'audit arrive, la réconciliation est déjà faite — vous répondez avec des données, pas avec de la panique.
Soyez prêt pour l'audit avant que la lettre n'arrive
Suivi continu des droits vs consommation. Gratuit pour 10 utilisateurs.
Démarrer gratuitement →