Management

En matière de gestion de ses licences logicielles, la Nasa est sur Mars

Le manque de contrôle de la DSI sur les dépenses en logiciel explique, en partie, les gaspillages pointés par l'inspection générale de la Nasa. (Photo : WikiImages / Pixabay)

L'absence de gestion centralisée des licences logicielles au sein de l'agence spatiale américaine se traduit par un surcoût de 35 M$, selon un rapport interne. Dont 15 millions dépensés en licences Oracle, avant tout par crainte d'essuyer un audit de cet éditeur.

PublicitéFaute de gestion centralisée de ses licences, la Nasa a gaspillé 15 M$ en logiciels Oracle au cours des cinq dernières années. C'est une des conclusions d'un rapport d'audit de l'inspection générale de l'agence spatiale américaine. Selon ce document, la Nasa a trop dépensé en logiciels Oracle du fait de sa crainte d'un audit de cet éditeur et du lock-in que pratique ce dernier. D'une part, l'agence ne dispose pas d'une vision centralisée sur ces licences, l'exposant à des redressements, suite aux audits que peuvent mener les éditeurs. Dans le cas d'Oracle, l'agence spatiale redoutait des pénalités dépassant les 15 M$, montre le rapport. D'autre part, la Nasa avait signé avec Oracle des contrats couvrant toute la durée de certaines de ses missions spatiales, rendant toute migration vers des technologies alternatives risquée. « En d'autres termes, la simple menace d'un audit par le fournisseur a suffi à encourager les achats excessifs de licences, car la fiabilité de la gestion des actifs logiciels de l'agence était suspecte », écrit l'inspection générale. Cette dernière remarque que les efforts pour mettre en oeuvre un programme de gestion des actifs logiciels (ou SAM, pour Software Asset Management) à l'échelle de la Nasa « ont été entravés à la fois par des problèmes de budget et de personnel et par la complexité et le volume des accords de licence de l'agence ». Résultat : l'inspection attribue aux pratiques de gestion des logiciels de l'agence la note "élémentaire"... Soit la note la plus basse selon l'ISO. Rappelons que le Software Asset Management est une pratique visant à contrôler et optimiser les achats, le déploiement, la maintenance et l'usage des logiciels dans une organisation.

Des licences inutiles et des amendes après audits

Exploitant un parc de plus de 49 000 machines, la Nasa souffre d'un manque de centralisation et de visibilité sur son inventaire technologique, souligne le rapport. Limitant ainsi sa capacité à identifier des logiciels en doublon ou obsolètes. Et l'inspection de pointer des achats de logiciels insuffisamment suivis et pas toujours autorisés par la DSI centrale, « ce qui permet à certains utilisateurs de contourner l'autorisation de celle-ci pour acheter des applications par des moyens alternatifs ». S'y ajoutent des processus erratiques lors des négociations de contrats avec les éditeurs, mais aussi lors des audits menés par ces derniers. L'ensemble de ces lacunes a abouti à des achats de licences Oracle non nécessaires, mais l'éditeur de Redwood Shores est loin d'être le seul à avoir profité des largesses de l'organisme. Au total, l'inspection générale de l'agence a identifié 20 M$ supplémentaires de dépenses qui auraient pu être évitées, en licences inutiles et en amendes suite à des audits. « Nous estimons que l'agence aurait pu économiser environ 35 M$ (20 millions en amendes et paiements excédentaires et 15 millions en licences inutilisées) et qu'elle pourrait économiser 4 M$ au cours des trois prochaines années en mettant en oeuvre un programme de gestion des actifs logiciels à l'échelle de l'entreprise », écrivent les auteurs du rapport.

PublicitéPas moins de 11 000 comptes à privilèges

En 2017, la Nasa a déjà dû verser 18,9 M$ à IBM à la suite d'un audit afin de se mettre en conformité avec les accords de licence qu'elle avait signés. En 2021, plusieurs fournisseurs tels que Suse, SAP ou Dassault Systèmes ont reçu collectivement environ 4,4 M$ de l'agence pour régler les pénalités liées à des usages de logiciels non conformes. La gestion erratique du logiciel par l'agence a d'autres conséquences potentielles, en particulier en matière de cybersécurité. En effet, entre 2020 et 2022, l'inspection générale souligne que pas moins de 11 000 utilisateurs en interne ont bénéficié de comptes à privilèges, qui sont autant de cibles de choix pour des assaillants. Un total astronomique que l'inspection générale explique par des « contraintes opérationnelles et des délais dans l'obtention des budgets ».