La NASA a dépensé 15 millions de dollars en licences Oracle inutilisées

Parce qu'elle craignait qu'un audit ne lui coûte plus cher

La NASA serait nulle en matière de gestion des actifs logiciels, parce qu’elle n'a pas mis en œuvre les directives du gouvernement fédéral sur la manière de s'y prendre et, par conséquent, elle dépense trop pour du code qu'elle n'utilise pas - dont 15 millions de dollars pour un logiciel Oracle inutilisé, sous une licence vieille de douze ans que l'agence spatiale avait peur de faire auditer. Il est reproché à la NASA d’avoir généré 35 millions de dollars de mauvaises dépenses en logiciels, qui, selon l'auditeur, auraient pu être évitées si le système SAM (Software Asset Management) avait été mis en place - à un coût probable de 3 millions de dollars pour la mise en œuvre et de 2,5 millions de dollars par an pour le fonctionnement.

La gestion des licences logicielles est depuis longtemps une tâche importante, quoique parfois négligée et peu appréciée, des services informatiques. Au fil du temps, les enjeux de la conformité des logiciels ont augmenté à mesure que les types de licences se multiplient et deviennent plus complexes, et que les audits des fournisseurs sont plus fréquents. Les logiciels étant considérés comme des œuvres créatives au même titre que la musique, les films et les livres, ils sont protégés par les lois américaines sur le droit d'auteur et l'utilisation ou la distribution de logiciels non autorisés est illégale.

Selon un rapport d'audit publié par le bureau de l'inspecteur général (OIG) de l'agence spatiale américaine, la National Aeronautics and Space Administration (NASA) a dépensé environ 15 millions de dollars en logiciels Oracle au cours des cinq dernières années, faute d'une pratique centralisée de gestion des actifs logiciels. Le rapport d'audit montre que l'agence spatiale a dépensé 20 millions de dollars supplémentaires sur la même période en amendes et en paiements excédentaires à des fournisseurs tels qu'IBM, SUSE et SAP, entre autres.


Le rapport attribue cet énorme dépassement de budget à la dépendance vis-à-vis des fournisseurs et au fait que la NASA ne voulait pas risquer un audit de licence par Oracle en raison de son manque de visibilité sur la gestion des logiciels. Selon le rapport, le verrouillage des fournisseurs est une situation dans laquelle une entreprise cliente utilisant un produit ou un service ne peut pas facilement passer à un produit ou un service concurrent.

« La NASA a acheté de grandes quantités de produits Oracle pour soutenir le traitement de la navette spatiale et d'autres opérations de mission au cours de cette période, avec des conditions de licence qui rendaient difficile la transition vers un concurrent en raison des technologies propriétaires », écrit l'OIG dans le rapport. La NASA ne voulait pas s'engager dans un audit d'Oracle car elle craignait que les pénalités résultant de l'audit coûtent plus que les 15 millions de dollars, selon le rapport.

Meilleures pratiques pour la gestion des licences de logiciels

Superviser des milliers de licences de logiciels - suivre qui les utilise, s'assurer que les droits de licence sont à jour et évaluer les conditions du contrat de licence - peut être fastidieux et prendre beaucoup de temps.

Selon des experts du gouvernement et de l'industrie, dont le NIST, Microsoft et l'Organisation internationale de normalisation, un effort réfléchi pour gérer de manière proactive les actifs logiciels d'une agence comprend la mise en place d'un programme habilité par la direction générale, composé de membres d'équipes pluridisciplinaires et utilisant un logiciel de gestion des actifs logiciels qui intègre et normalise les données pour l'inventaire des logiciels, leur utilisation et le rapprochement des licences.

Le modèle de maturité et d'optimisation de la gestion des actifs logiciels fournit aux organisations un moyen d'évaluer leur capacité actuelle à gérer les logiciels. Le modèle classe la gestion des actifs logiciels en 10 compétences clefs :

1. SAM dans toute l'organisation ;
2. Plan d'amélioration du SAM ;
3. Inventaire du matériel et des logiciels ;
4. Exactitude de l'inventaire ;
5. Enregistrements des droits de licence ;
6. Évaluation périodique ;
7. Interfaces de gestion des opérations ;
8. Processus d'acquisition ;
9. Processus de déploiement ;
10. Retraite Processus.

Chaque compétence étant évaluée par l'une des quatre notes suivantes :

• basique : les logiciels sont gérés de manière ad hoc avec peu, voire aucune, politique globale ;
• standardisé : l'agence utilise un outil de découverte ou un référentiel de données pour le suivi des actifs, bien que les informations peuvent ne pas être suffisamment complètes ou précises pour la prise de décision ;
• rationalisé : les actifs sont activement gérés, et l'agence a mis en place des politiques, des procédures, et des outils intégrés dans le cycle de vie complet des actifs informatiques ;
• dynamique : les actifs sont optimisés, avec un alignement en quasi-temps réel sur les besoins changeants de l'entreprise.

L'adoption des meilleures pratiques en matière de gestion des logiciels - méthodes, processus, techniques et activités éprouvés que les organisations définissent et utilisent pour minimiser les risques et maximiser les chances de succès - garantit que les actifs sont gérés de manière appropriée et contribue à minimiser les risques en garantissant que les logiciels sont utilisés conformément aux accords de licence.

Par exemple, la centralisation du traitement des licences, l'identification et l'inventaire, l'analyse des données relatives aux licences et la formation peuvent contribuer à créer un environnement informatique où la conformité des licences logicielles fait partie d'un effort stratégique plus large de gestion des actifs informatiques.

Le rapport bureau de l'inspecteur général fait constater que la NASA n'a pas adopté les meilleures pratiques ni mis en œuvre les systèmes SAM qui permettent de découvrir, d'inventorier et de suivre les données de licence, comme l'exige la politique fédérale. Le bureau de gestion des actifs logiciels et les postes de gestionnaires de logiciels de l'agence « ne sont pas alignés et ne rendent pas compte au directeur de l'information comme l'exige la politique fédérale ».

La NASA ne dispose pas non plus d'un processus cohérent pour négocier avec les fournisseurs de logiciels, ou pour gérer les audits de licence. Le rapport suggère que la NASA est donc exposée à des coûts et des pénalités plus élevés en cas de violation des accords de licence de logiciels. Le rapport utilise l'exemple de l'accord Oracle de la NASA pour illustrer ces problèmes, en détaillant comment l'agence « ne voulait pas risquer un audit de licence par Oracle en raison du manque de visibilité solide et centralisée sur le déploiement et l'utilisation du logiciel ».

Des responsables du bureau du CIO de la NASA ont déclaré au Bureau de l'Inspecteur général qu'ils « savaient qu'il valait mieux ne pas tenter notre chance avec un audit ». Les licences Oracle de la NASA doivent être renouvelées en avril 2023 et le rapport indique que les responsables de l'agence « rassemblent les exigences et examinent « comment et pourquoi » les licences Oracle sont devenues si lourdes et complexes à gérer. »

« En parallèle, l'agence examine également l'environnement actuel et souhaité en matière de licences afin de quantifier le coût réel des activités avec Oracle. »
Autre révélation du document, la NASA a payé 4,36 millions de dollars de pénalités pour violation de licence logicielle au cours de la seule année fiscale 2021. La NASA a pu négocier certains frais jusqu'à zéro, mais a envoyé 3,85 millions de dollars à SUSE et 415 000 dollars à SAP. L'auditeur soupçonne que d'autres paiements ont pu être effectués au cours des cinq dernières années - probablement pour un montant de 20 millions de dollars.

En plus du gâchis d'Oracle, cela représente 35 millions de dollars de mauvaises dépenses en logiciels, qui, selon l'auditeur, auraient pu être évitées si le système SAM avait été mis en place - à un coût probable de 3 millions de dollars pour la mise en œuvre et de 2,5 millions de dollars par an pour le fonctionnement.

Pénalités pour violation de licence logicielle pour l'exercice 2021

Le rapport présente également les observations désagréables suivantes :

Les logiciels téléchargés avec un accès privilégié ne font pas l'objet d'un suivi pour la conformité des licences et la gestion du cycle de vie, et la NASA ne dispose pas d'un processus cohérent, à l'échelle de l'Agence, pour limiter l'accès privilégié ou utiliser les autorisations « moindre privilège », qui ne donnent aux utilisateurs que les autorisations logicielles nécessaires à leur travail. Cet écart par rapport aux meilleures pratiques constitue un risque de cybersécurité, car les logiciels déployés au sein de l'Agence présentent à la fois des risques de cybersécurité et de conformité aux licences logicielles.

L'utilisation ou la distribution de logiciels non autorisés est illégale. En tant que telles, les organisations sont chargées de faire respecter les lois sur le droit d'auteur et sont tenues responsables en cas de violation. Un avertissement typique du contrat de licence de l'utilisateur final de Microsoft est illustré ci-dessous :

La constitution d’une bonne équipe de gestion des actifs logiciels est essentielle au succès de la gestion des licences. Idéalement, des représentants de la NASA issus de l'Office of the Chief Information Officer (OCIO), des achats, du service juridique et des finances devraient s'unir pour renforcer la gestion et la conformité de l'Agence dans l'ensemble de son écosystème informatique et contribuer à un programme de gestion des actifs logiciels efficace et proactif.

Une pénalité pour violation de licence logicielle est une amende ou une action en justice résultant de l'utilisation, de la duplication ou de la distribution non autorisée d'un logiciel protégé par des droits d'auteur par un individu ou une organisation. Les risques de piratage de logiciels ont non seulement des implications juridiques qui peuvent coûter des centaines de milliers de dollars, mais ils créent également un risque de cybersécurité pour les systèmes informatiques d'une organisation.

Selon la BSA, environ 40 % des logiciels installés dans le monde sont copiés illégalement. Les budgets informatiques et le ralentissement général des dépenses technologiques ont contribué à ce phénomène. Dans la plupart des cas, les logiciels vendus aux utilisateurs par le biais d'un contrat de licence ou d'un abonnement doivent être renouvelés périodiquement.

Les programmes et les bureaux de la NASA, y compris le Bureau de l'Inspecteur Général (OIG), ont principalement des contrats avec un ensemble de fournisseurs tels qu’Adobe, Microsoft, Oracle, IBM, PTC Windchill, SAP, et Splunk pour obtenir des licences de logiciels propriétaires afin de mener à bien leurs opérations commerciales.
De manière générale, le Bureau de l'ingénieur en chef de la NASA est chargé de protéger les investissements de l'Agence dans les produits logiciels et de s'assurer que le gouvernement dispose de droits clairs et de la licence appropriée pour utiliser le logiciel.

Les actifs logiciels étant immatériels, ils sont plus difficiles à suivre que les composants matériels physiques. « La gestion des licences logicielles est d'une complexité trompeuse - pour la NASA, l'OIG et d'autres agences - si l'on considère les centaines de fournisseurs de logiciels et les milliers d'applications ou d'environnements qui vont des sites sur place dans les installations de la NASA au cloud », indique le rapport.

Cela rend difficile la détection de la non-conformité, de la surutilisation et des tendances en matière de coûts. À titre d'exemple, chaque mois, la NASA utilise 1,5 million d'heures d'informatique en cloud, employant plus de 2 500 serveurs physiques et plus de 7 000 serveurs virtuels, tous avec des considérations diverses en matière de logiciels et de licences, et prenant en charge environ 35 000 utilisateurs.

Le Bureau des achats joue un rôle clef dans la phase d'acquisition, car les logiciels de l'Agence sont achetés par le biais de divers contrats de l'Administration des services généraux et de la Gestion des achats à l'échelle de l'entreprise de la NASA.

Organigramme du service du directeur général de l'information

Le Bureau de gestion des affaires de l'entreprise de la NASA abrite le Bureau de gestion des actifs logiciels et son Responsable du logiciel de l'agence. Elle est responsable de la supervision, de l'orientation et de la gestion centralisées du portefeuille de licences logicielles de la NASA, ce qui implique de s'assurer que les risques opérationnels et financiers sont pris en compte tout au long du cycle de vie du produit.

Le problème de l'agence spatiale, selon le rapport, est l'absence d'une pratique centralisée de gestion des actifs logiciels et ses pratiques actuelles ad hoc, qui pourraient exposer la NASA à des risques opérationnels, financiers et de cybersécurité. La gestion des actifs logiciels est la pratique consistant à contrôler et à optimiser l'achat, le déploiement, la maintenance et l'utilisation d'applications ou de suites logicielles dans une organisation ou une institution.

« Les efforts déployés pour mettre en œuvre un programme de gestion des actifs logiciels à l'échelle de l'entreprise ont été entravés par des problèmes de budget et de personnel, ainsi que par la complexité et le volume des accords de licence de logiciels de l'agence », écrit l'OIG dans son rapport, qui attribue aux pratiques de gestion des logiciels de l'agence la note "BASIQUE", soit la note la plus basse selon l'Organisation internationale de normalisation.

Le rapport demande à la NASA de rectifier SAM immédiatement. Tant qu'elle ne le fera pas, « l'Agence risque d'acquérir des logiciels de manière coûteuse et inefficace, ainsi que d'encourir des dizaines de millions de dollars de pénalités pour non-respect des licences. »

La direction de la NASA a largement accepté les conclusions du rapport et a déclaré qu'un projet pilote SAM débutera en octobre 2023, mais que la mise en œuvre à l'échelle de l'agence ne sera pas terminée avant 2027.

Conclusion sur la gestion des actifs logiciels par la NASA

La NASA a mis du temps à formaliser ses efforts de gestion des actifs logiciels en raison de la complexité et du volume de ses accords de licence de logiciels. Déterminer un moyen d'exploiter une meilleure compréhension et visibilité de l'inventaire actuel des licences, de promouvoir une discipline de conformité plus forte et de réduire les coûts associés à la gestion des licences logicielles dans son ensemble a été un défi de taille, et les efforts dans ce sens ont été marqués par une série de faux départs depuis plus de dix ans.

Tant que la NASA n'aura pas remédié aux importantes faiblesses identifiées dans sa façon de gérer le cycle de vie des logiciels, notamment l'établissement d'un inventaire centralisé et intégré et la limitation des accès privilégiés, l'Agence risque de se procurer des logiciels de manière coûteuse et inefficace, et d'encourir des dizaines de millions de dollars de pénalités pour non-respect des clauses de licence.

Selon le bureau de l'inspecteur général, la NASA doit agir immédiatement et de manière décisive pour déployer un programme complet de gestion des actifs logiciels, en gérant les logiciels avec la même rigueur et la même discipline que les autres dépenses de l'Agence. En minimisant les pénalités liées aux licences et les dépassements de budget. Les économies réalisées pourraient facilement compenser le coût de la mise en œuvre d'un programme robuste visant à améliorer la responsabilité financière et la cybersécurité, et la cybersécurité, et éviter davantage de dépenses inutiles.

Source : NASA

Et vous ?

Quel est votre avis sur le sujet ?

Comment une organisation aussi puissante que la NASA et dotée d’une ressource humaine parmi les plus intelligentes du monde peut-elle se faire traiter de nulle en gestion des actifs logiciels ?

Voir aussi :

La NASA piratée à cause d'un Raspberry Pi non autorisé connecté à son réseau, selon un rapport

La NASA a demandé à Nokia de construire le tout premier réseau cellulaire LTE / 4G sur la Lune, faisant ainsi progresser les technologies « Tipping Point »