Académique Documents
Professionnel Documents
Culture Documents
Ce Livre blanc est la propriété d’Easytrust. Toute reproduction partielle ou totale, sans
l’autorisation d’Easytrust, est interdite.
Winter ‘16
Introduction
La gestion des actifs logiciels est un enjeu stratégique pour les entreprises et le marché du
SAM gagne progressivement en maturité. Les solutions SAM se sont ainsi imposées comme
une nécessité dans la mise en œuvre d’une démarche SAM. En effet, une bonne gestion des
actifs logiciels n’est pas simplement un état des lieux à un moment donné, c’est avant tout
un processus continu.
Parmi les outils de gestion des logiciels, seuls quelques-uns sont « certifiés », c’est-à-dire
qu’ils ont été « vérifiés » par l’éditeur.
Les produits Oracle sont particulièrement difficiles à bien gérer dans la mesure où ils ne
s’installent pas comme la plupart des logiciels (l’ensemble des produits sont fournis
pleinement fonctionnels et sans contrôle de ce qui est téléchargé, sans clé de licence), où ils
ont des métriques extrêmement complexes et où la configuration des systèmes sur lesquels
ils s’exécutent est tout aussi importante que leur utilisation elle-même.
Nous proposons, dans ce Livre blanc, d’apporter un éclairage sur l’utilité d’un outil vérifié par
Oracle et le rôle de la vérification dans le choix d’un outil de gestion des logiciels. Nous
aborderons les points suivants :
S’agissant spécifiquement de la vérification des outils de SAM pour Oracle, autant citer
l’éditeur pour comprendre exactement de quoi l’on parle :
Il est à noter que la vérification d’Oracle ne porte que sur les données relatives à la base de
données et aux options, excluant de ce fait de nombreux produits de l’éditeur. Néanmoins,
en pratique, la base de données et les options représentent un pourcentage très important
des enjeux clients en termes de conformité (plus de 80% en moyenne chez nos clients).
Par ailleurs, la vérification d’Oracle ne porte que sur la collecte des données (inventaire) et
non sur la gestion des logiciels (SAM). Il n’en reste pas moins que la vérification garantit
l’exactitude et l’exhaustivité des données collectées grâce à l’outil, préalable nécessaire à la
performance globale d’un outil SAM.
Enfin, si la vérification de l’outil ne fait pas échec à la faculté d’audit d’Oracle et ne permet
pas de préjuger des conclusions de l’éditeur, la maîtrise des données extraites et partagées
avec l’éditeur permet d’anticiper les risques de non-conformité et de jouer à armes égales
dans le contexte d’un audit, sans exécuter les scripts de l’éditeur.
1 http://www.oracle.com/us/corporate/license-management-services/index.html
Comment ça se passe ?
Concrètement, la vérification de l’outil Easytrust for Oracle est le résultat d’un processus long
et exigeant.
Par « interprétation » il faut comprendre le lien entre la présence d’un paramètre technique
et l’usage considéré par Oracle comme avéré d’une option. Ce sujet, loin d’être simple, est
l’objet de très nombreuses erreurs.
Ces premières spécifications, qui représentent 80% des usages de la base de données et des
options, ont permis à nos équipes de R&D de développer la brique d’inventaire de notre outil
et d’acquérir une connaissance pointue de la manière dont Oracle interprète les données de
collecte relatives à l’installation et l’usage de la base de données et de ses options.
Lors des itérations suivantes, qui représentent 20% de notre outil d’inventaire, Oracle nous a
fourni les spécifications permettant uniquement d’identifier les informations à remonter,
sans les interprétations afférentes. Oracle a en effet fourni uniquement l’update des scripts
mais n’a pas mis à jour le fichier d’interprétation.
La capacité de notre outil à générer les données exigées par Oracle (plus de 60 scripts de
collecte) fait ainsi l’objet d’une évaluation continue.
2 http://www.oracle.com/us/corporate/license-management-services/index.html
Pour maintenir sa vérification, la solution Easytrust for Oracle est « auditée » chaque année
et chaque fois, les normes de collecte sont plus importantes. Ces exigences nous permettent
d’améliorer notre outil et d’affiner ses capacités d’analyse.
Lors du dernier processus annuel de vérification de notre outil en 2016, Oracle a étendu son
programme aux caractéristiques techniques des machines (y compris le système
d’exploitation – par exemple Solaris – et environnements virtuels – par exemple, VMWare)
afin de les couvrir en lieu et place du script « hardware ».
Easytrust peut témoigner que la vérification Oracle est exigeante et les outils réévalués
annuellement. D’ailleurs, une fois acquise, cette vérification n’est pas nécessairement
maintenue. L’outil BDNA n’est ainsi plus vérifié alors qu’il l’était initialement.
La vérification est un processus annuel exigeant attestant d’une fiabilité de l’outil dans la
durée et d’une maîtrise de l’ensemble des attributs de la base de données et des options.
Il est difficile d’être vérifié et de le rester.
Cependant, les données brutes collectées sont exhaustives et peuvent être exportées à
l’éditeur si le client le désire. L’éditeur ne peut donc pas les contester et/ou formuler de
réclamation sur une autre base. C’est précisément la maîtrise des données brutes extraites et
envoyées à l’éditeur qui permet à l’utilisateur de faire jeu égal avec l’éditeur dans le cadre
d’un audit. Les données brutes sont contradictoires et peuvent être opposées à l’éditeur.
Toutefois, si la maîtrise des données brutes est nécessaire, elle n’est pas pour autant
suffisante.
Les données brutes sont ensuite interprétées et c’est de cette interprétation que résultera un
statut sur la conformité de l’utilisation du produit et des options.
L’interprétation correcte des données brutes est donc une étape essentielle puisqu’elle va
permettre, dans le cadre d’une démarche SAM, de procéder aux actions techniques qui
permettront d’optimiser la gestion des licences et de réduire le risque de non-conformité. Les
données brutes préparent le travail d’interprétation et de mise en conformité en amont de
l’extrait et de l’envoi des données brutes de collecte à Oracle dans le cadre d’un audit ou en
sortie d’ULA.
A cet égard, la connaissance de l’interprétation des données par LMS, telle que communiquée
par Oracle dans le cadre du processus de vérification et de la fourniture des spécifications
initiales, facilite grandement une meilleure interprétation des données brutes.
Les spécifications initiales fournies par Oracle ont en effet été déterminantes pour le
développement de notre outil en nous donnant la vision LMS et l’interprétation retenue par
Oracle des données brutes pour une très grande partie des cas d’usage.
Outre la performance globale de l’outil, la capacité à bien interpréter les données permet, le
cas échéant, d’opposer à l’éditeur une interprétation différente lorsque la position retenue
par ce dernier est particulièrement défavorable pour l’utilisateur et contestable en son
fondement.
Cette vérification est en effet la marque d’une grande connaissance des métriques de
l’éditeur et des pratiques de LMS.
Les acteurs non vérifiés qui n’ont pas eu accès aux spécifications d’Oracle ont en effet dû
identifier l’ensemble des données brutes à remonter et interpréter l’intégralité de ces
données brutes, avec une marge d’erreur plus importante.
Les produits vérifiés remontent toutes les données qui doivent ensuite être interprétées.
La maîtrise des données brutes exhaustives facilite leur bonne interprétation.
Lorsque les données brutes sont exhaustives et que l’on connait l’interprétation retenue
par LMS, il est plus simple d’interpréter correctement les données brutes et, le cas échéant,
d’opposer à l’éditeur une autre interprétation.
De notre point de vue, la vérification est un prérequis mais c’est bien évidemment la qualité
de l’interprétation des données brutes qui fait la différence en termes de SAM,
particulièrement entre deux outils vérifiés.
Easytrust a recruté des experts DBA, des formateurs Oracle, des spécialistes du SAM Oracle
et d’anciens salariés d’Oracle LMS afin de maintenir la qualité de l’interprétation des données
brutes par notre outil. Notre R&D travaille depuis 10 sur les produits Oracle et nos équipes
ont une parfaite connaissance des produits Oracle et du fonctionnement de LMS.
La vérification de notre outil par Oracle, nos investissements en R&D et l’expertise que nous
avons développée autour d’Oracle sont autant de gages de la qualité de notre interprétation
des données brutes.
3 https://www.itassetmanagement.net/2016/05/17/publisher-tool-certifications-sam-tool-selection/
Notre outil remonte l’intégralité des traces (données brutes), puis nous réalisons une
première analyse « pessimiste » en appliquant les règles Oracle LMS, sans distinguer les
usages récurrents des usages accidentels ou les usages réels des simples activations dans le
paramétrage.
Le terme « faux positif » qui relève de la pratique désigne les usages avérés ne nécessitant
pas de licences supplémentaires. Les « soupçons d’usage » visent des configurations qui
permettraient d’utiliser un pack ou une option, sans que cette utilisation soit réelle.
Nous savons par expérience qu’Oracle LMS exige souvent des licences complémentaires en
présence de « faux-positifs » et de « soupçons d’usage » alors même que nous pouvons
aisément accompagner nos clients pour réduire ces cas.
Par exemple, les bases de données Oracle eBusiness Suite utilisent nativement des packs et
options (comme Partitioning). Dans cette hypothèse, l’outil Easytrust LM for Oracle va
remonter le détail de ces usages pour vérifier qu’aucune utilisation non-prévue au contrat n’a
été réalisée. Dans le cas du Partitioning, nous vérifions que seuls des objets standards de la
eBusiness Suite ont été partitionnés pour éviter au client de devoir acheter des licences
complémentaires pour tout partionnement d’objet spécifique. L’usage est réel, il est toutefois
couvert par les licences eBusiness Suite.
Un autre cas récurrent chez nos clients est l’activation de certains Packs Oracle dans la console
OEM en cochant une case. Cette activation nécessite l’acquisition de licences
complémentaires en application des métriques Oracle. Si toutefois en pratique le client n’en
a pas d’usage avéré, il suffit de décoche la case pour ne plus donner prise aux réclamations
d’Oracle.
Citons encore le cas de l’utilisation de datapump avec l’option metadata_only qui est une
valeur par défaut en version 12.1.0.1. Ce paramétrage par défaut active indûment l’option de
compression qui est ensuite tracée dans la DBA_FEATURE_USAGE_STATISTICS. Ce bug
remonte ainsi un usage d’Advanced Compression qui ne doit pourtant pas être pris en compte
puisque le client n’est pas à l’origine de cet usage.
Notre solution Easytrust Licence Management for Oracle est probablement la solution SAM
spécialisée sur un éditeur la plus déployée en France et fait partie des quelques solutions
« vérifiées » par Oracle.
compte toutes les subtilités des métriques Oracle (faux positifs, exceptions etc.) constitue une
vraie valeur ajoutée.
La force de notre approche dédiée à Oracle est de pouvoir outiller l’optimisation des
architectures et des contrats.
La vérification de l’éditeur est un prérequis pour le choix d’une solution de gestion des
logiciels Oracle. La qualité de l’interprétation des données brutes permet de faire le choix
entre deux solutions vérifiées.
En effet, les données collectées par l’outil sont acceptées par l’éditeur et l’usage de l’outil
permet de ne pas exécuter les scripts Oracle ce qui est toujours rassurant pour l’utilisateur,
particulièrement les entreprises pour lesquelles la confidentialité et la sécurité sont
réglementées et contrôlées.
Le refus d’Oracle d’offrir des garanties quelconques en cas d’atteinte aux données ou aux
systèmes rend en effet difficile la conciliation entre la prérogative d’audit de l’éditeur et les
contraintes internes des clients.
Grâce à la console Easytrust for Oracle, l’utilisateur a accès à l’intégralité des données brutes
et interprétées et seules les données exigées de l’éditeur lui sont communiquées après
vérification. Easytrust s’engage en outre à ce que son outil ne perturbe pas la production de
ses clients et prend ses responsabilités à ce titre, offrant ainsi des garanties indispensables à
la bonne gestion de la sécurité et de la confidentialité par les utilisateurs.
L’utilisation d’un outil certifié permet de refuser l’exécution des scripts Oracle et permet
d’avoir des garanties en termes de transparence, de confidentialité et d’innocuité des
scripts sur les systèmes.
Réserve
URL : http://www.easytrust.com
Email : contact@easytrust.com