Gestion de logiciels Oracle : l’utilité d’une solution vérifiée par l’éditeur

Gestion des logiciels Oracle : l’utilité

d’une solution vérifiée par l’éditeur
White Paper

Ce Livre blanc est la propriété d’Easytrust. Toute reproduction partielle ou totale, sans
l’autorisation d’Easytrust, est interdite.

Winter ‘16

2016 –Easytrust Page 1

 Gestion de logiciels Oracle : l’utilité d’une solution vérifiée par l’éditeur

Introduction
La gestion des actifs logiciels est un enjeu stratégique pour les entreprises et le marché du
SAM gagne progressivement en maturité. Les solutions SAM se sont ainsi imposées comme
une nécessité dans la mise en œuvre d’une démarche SAM. En effet, une bonne gestion des
actifs logiciels n’est pas simplement un état des lieux à un moment donné, c’est avant tout
un processus continu.

Parmi les outils de gestion des logiciels, seuls quelques-uns sont « certifiés », c’est-à-dire
qu’ils ont été « vérifiés » par l’éditeur.

Les produits Oracle sont particulièrement difficiles à bien gérer dans la mesure où ils ne
s’installent pas comme la plupart des logiciels (l’ensemble des produits sont fournis
pleinement fonctionnels et sans contrôle de ce qui est téléchargé, sans clé de licence), où ils
ont des métriques extrêmement complexes et où la configuration des systèmes sur lesquels
ils s’exécutent est tout aussi importante que leur utilisation elle-même.

Nous proposons, dans ce Livre blanc, d’apporter un éclairage sur l’utilité d’un outil vérifié par
Oracle et le rôle de la vérification dans le choix d’un outil de gestion des logiciels. Nous
aborderons les points suivants :

 En quoi consiste la vérification Oracle

 La vérification : un processus exigeant

 Différencier les données brutes et les données interprétées

 La vérification est un prérequis et la qualité de l’interprétation ce qui fait la différence

 L’outil vérifié : une garantie de transparence, de confidentialité et d’innocuité des

scripts

2016 –Easytrust Page 2

 Gestion de logiciels Oracle : l’utilité d’une solution vérifiée par l’éditeur

En quoi consiste la vérification Oracle

D’une manière générale, la certification est une procédure destinée à faire valider par un
organisme la conformité d’un produit à certaines exigences à partir d’un référentiel de qualité
préalablement défini. La vérification est donc gage d’une certaine qualité et son utilité
générale n’est plus à démontrer.

S’agissant spécifiquement de la vérification des outils de SAM pour Oracle, autant citer
l’éditeur pour comprendre exactement de quoi l’on parle :

« Le processus de vérification ne couvre que la collecte des données liées à

l'installation et à l'usage des produits Oracle spécifiques, à savoir la base de données
Oracle et les options associées. La vérification n'inclut aucun autre produit Oracle ou
les capacités globales de la solution du fournisseur. LMS acceptera les données
extraites de chacun de ces outils comme une alternative à l’exécution des scripts
Oracle. Veuillez noter que l'installation et l'usage de l'outil d'un vendeur vérifié ne
remplace pas un examen ou un audit de licence d'Oracle, ni ne révoque le droit
contractuel d'Oracle à réaliser un examen ou un audit de licence. » 1

Il est à noter que la vérification d’Oracle ne porte que sur les données relatives à la base de
données et aux options, excluant de ce fait de nombreux produits de l’éditeur. Néanmoins,
en pratique, la base de données et les options représentent un pourcentage très important
des enjeux clients en termes de conformité (plus de 80% en moyenne chez nos clients).

Par ailleurs, la vérification d’Oracle ne porte que sur la collecte des données (inventaire) et
non sur la gestion des logiciels (SAM). Il n’en reste pas moins que la vérification garantit
l’exactitude et l’exhaustivité des données collectées grâce à l’outil, préalable nécessaire à la
performance globale d’un outil SAM.

Enfin, si la vérification de l’outil ne fait pas échec à la faculté d’audit d’Oracle et ne permet
pas de préjuger des conclusions de l’éditeur, la maîtrise des données extraites et partagées
avec l’éditeur permet d’anticiper les risques de non-conformité et de jouer à armes égales
dans le contexte d’un audit, sans exécuter les scripts de l’éditeur.

 Ce qu’il faut retenir :

La vérification atteste de l’exhaustivité des données collectées par l’outil, données

relatives à l’installation et l’usage de la base de données et des options, lesquelles seront
acceptées par l’éditeur lors d’un audit, comme alternative à l’exécution des scripts Oracle.

1 http://www.oracle.com/us/corporate/license-management-services/index.html

2016 –Easytrust Page 3

 Gestion de logiciels Oracle : l’utilité d’une solution vérifiée par l’éditeur

La vérification : un processus exigeant

A ce jour, seuls six outils sont vérifiés par Oracle2, dont un seul est un outil français : Easytrust
for Oracle.

Comment ça se passe ?

Concrètement, la vérification de l’outil Easytrust for Oracle est le résultat d’un processus long
et exigeant.

Lorsqu’Oracle a mis en place le processus de vérification, des spécifications extrêmement

détaillées indiquant précisément l’ensemble des données à collecter ainsi que leurs
interprétations ont été fournies.

Par « interprétation » il faut comprendre le lien entre la présence d’un paramètre technique
et l’usage considéré par Oracle comme avéré d’une option. Ce sujet, loin d’être simple, est
l’objet de très nombreuses erreurs.

Ces premières spécifications, qui représentent 80% des usages de la base de données et des
options, ont permis à nos équipes de R&D de développer la brique d’inventaire de notre outil
et d’acquérir une connaissance pointue de la manière dont Oracle interprète les données de
collecte relatives à l’installation et l’usage de la base de données et de ses options.

Lors des itérations suivantes, qui représentent 20% de notre outil d’inventaire, Oracle nous a
fourni les spécifications permettant uniquement d’identifier les informations à remonter,
sans les interprétations afférentes. Oracle a en effet fourni uniquement l’update des scripts
mais n’a pas mis à jour le fichier d’interprétation.

Cependant, fort de l’expertise développée grâce aux premières spécifications, et à l’expertise

de nos consultants spécialistes des sujets Oracle, Easytrust construit des interprétations
fiables des données brutes pour ces nouvelles données collectées.

En pratique, Oracle communique annuellement les prérequis techniques à respecter

impérativement, les spécifications à intégrer et le planning pour renvoyer les résultats, étant
précisé que la marge d’erreur tolérée pour l’implémentation des jeux de tests dans notre outil
est très faible. Les résultats de l’exportation des données brutes sont envoyés à Oracle et
après analyse de ces résultats, l’éditeur confirme ou infirme la vérification.

La capacité de notre outil à générer les données exigées par Oracle (plus de 60 scripts de
collecte) fait ainsi l’objet d’une évaluation continue.

2 http://www.oracle.com/us/corporate/license-management-services/index.html

2016 –Easytrust Page 4

 Gestion de logiciels Oracle : l’utilité d’une solution vérifiée par l’éditeur

Pour maintenir sa vérification, la solution Easytrust for Oracle est « auditée » chaque année
et chaque fois, les normes de collecte sont plus importantes. Ces exigences nous permettent
d’améliorer notre outil et d’affiner ses capacités d’analyse.

Une vérification récemment étendue aux caractéristiques hardware

Lors du dernier processus annuel de vérification de notre outil en 2016, Oracle a étendu son
programme aux caractéristiques techniques des machines (y compris le système
d’exploitation – par exemple Solaris – et environnements virtuels – par exemple, VMWare)
afin de les couvrir en lieu et place du script « hardware ».

La collecte de ces données hardware a ainsi nécessité d’importants investissements

d’infrastructure de R&D puisqu’il nous a contraint à exécuter les jeux de test sur un ensemble
de machines avec des configurations particulières. Oracle exige en effet la mise en place d’un
« lab » avec des environnements de test spécifiques permettant d’effectuer les mesures.

Dans le cadre de ce dernier processus de vérification sur la partie hardware, Oracle a

communiqué à Easytrust des scripts relatifs aux caractéristiques des machines, complétant sa
maîtrise de l’ensemble des attributs de la base de données et des options.

Easytrust peut témoigner que la vérification Oracle est exigeante et les outils réévalués
annuellement. D’ailleurs, une fois acquise, cette vérification n’est pas nécessairement
maintenue. L’outil BDNA n’est ainsi plus vérifié alors qu’il l’était initialement.

 Ce qu’il faut retenir :

La vérification est un processus annuel exigeant attestant d’une fiabilité de l’outil dans la
durée et d’une maîtrise de l’ensemble des attributs de la base de données et des options.
Il est difficile d’être vérifié et de le rester.

2016 –Easytrust Page 5

 Gestion de logiciels Oracle : l’utilité d’une solution vérifiée par l’éditeur

Différencier les données brutes et les données

interprétées
Comme expliqué ci-dessus, la vérification porte sur la capacité de l’outil à remonter des
données brutes exhaustives et exactes. La vérification ne préjuge pas de la fiabilité de
l’interprétation des données brutes par l’outil et de l’efficacité globale d’une solution de
gestion de logiciels. Les données interprétées ne sont en effet pas analysées par l’éditeur dans
le cadre de la vérification.

Cependant, les données brutes collectées sont exhaustives et peuvent être exportées à
l’éditeur si le client le désire. L’éditeur ne peut donc pas les contester et/ou formuler de
réclamation sur une autre base. C’est précisément la maîtrise des données brutes extraites et
envoyées à l’éditeur qui permet à l’utilisateur de faire jeu égal avec l’éditeur dans le cadre
d’un audit. Les données brutes sont contradictoires et peuvent être opposées à l’éditeur.

Toutefois, si la maîtrise des données brutes est nécessaire, elle n’est pas pour autant
suffisante.

Les données brutes sont ensuite interprétées et c’est de cette interprétation que résultera un
statut sur la conformité de l’utilisation du produit et des options.

L’interprétation correcte des données brutes est donc une étape essentielle puisqu’elle va
permettre, dans le cadre d’une démarche SAM, de procéder aux actions techniques qui
permettront d’optimiser la gestion des licences et de réduire le risque de non-conformité. Les
données brutes préparent le travail d’interprétation et de mise en conformité en amont de
l’extrait et de l’envoi des données brutes de collecte à Oracle dans le cadre d’un audit ou en
sortie d’ULA.

A cet égard, la connaissance de l’interprétation des données par LMS, telle que communiquée
par Oracle dans le cadre du processus de vérification et de la fourniture des spécifications
initiales, facilite grandement une meilleure interprétation des données brutes.

Les spécifications initiales fournies par Oracle ont en effet été déterminantes pour le
développement de notre outil en nous donnant la vision LMS et l’interprétation retenue par
Oracle des données brutes pour une très grande partie des cas d’usage.

Outre la performance globale de l’outil, la capacité à bien interpréter les données permet, le
cas échéant, d’opposer à l’éditeur une interprétation différente lorsque la position retenue
par ce dernier est particulièrement défavorable pour l’utilisateur et contestable en son
fondement.

Cette vérification est en effet la marque d’une grande connaissance des métriques de
l’éditeur et des pratiques de LMS.

2016 –Easytrust Page 6

 Gestion de logiciels Oracle : l’utilité d’une solution vérifiée par l’éditeur

Les acteurs non vérifiés qui n’ont pas eu accès aux spécifications d’Oracle ont en effet dû
identifier l’ensemble des données brutes à remonter et interpréter l’intégralité de ces
données brutes, avec une marge d’erreur plus importante.

 Ce qu’il faut retenir :

Les produits vérifiés remontent toutes les données qui doivent ensuite être interprétées.
La maîtrise des données brutes exhaustives facilite leur bonne interprétation.

Lorsque les données brutes sont exhaustives et que l’on connait l’interprétation retenue
par LMS, il est plus simple d’interpréter correctement les données brutes et, le cas échéant,
d’opposer à l’éditeur une autre interprétation.

La vérification est un prérequis et la qualité de

l’interprétation ce qui fait la différence
Dans un article récent3, the ITAM REVIEW précisait : « Je n'utiliserai pas les vérifications de
fournisseurs comme un différenciateur concurrentiel pour faire un choix entre divers outils »,
privilégiant l’adéquation aux besoins de l’entreprise et la qualité de l’analyse des données.

De notre point de vue, la vérification est un prérequis mais c’est bien évidemment la qualité
de l’interprétation des données brutes qui fait la différence en termes de SAM,
particulièrement entre deux outils vérifiés.

Easytrust a recruté des experts DBA, des formateurs Oracle, des spécialistes du SAM Oracle
et d’anciens salariés d’Oracle LMS afin de maintenir la qualité de l’interprétation des données
brutes par notre outil. Notre R&D travaille depuis 10 sur les produits Oracle et nos équipes
ont une parfaite connaissance des produits Oracle et du fonctionnement de LMS.

La vérification de notre outil par Oracle, nos investissements en R&D et l’expertise que nous
avons développée autour d’Oracle sont autant de gages de la qualité de notre interprétation
des données brutes.

Les faux positifs

S’agissant des « faux positifs », à savoir ces traces d’activation des produits qui sont
comptabilisées par Oracle comme un usage réel, alors qu’elles ne devraient pas l’être, nous
les analysons de la manière suivante.

3 https://www.itassetmanagement.net/2016/05/17/publisher-tool-certifications-sam-tool-selection/

2016 –Easytrust Page 7

 Gestion de logiciels Oracle : l’utilité d’une solution vérifiée par l’éditeur

Notre outil remonte l’intégralité des traces (données brutes), puis nous réalisons une
première analyse « pessimiste » en appliquant les règles Oracle LMS, sans distinguer les
usages récurrents des usages accidentels ou les usages réels des simples activations dans le
paramétrage.

Nous poursuivons notre analyse en différenciant progressivement les « usages avérés »,

c’est-à-dire les traces correspondant à une utilisation réelle d’un pack ou d’une option (par
exemple, nous considérons que Tuning Pack est utilisé lorsque des dizaines de SQL Profiles
ont été créés dans une base de données ou encore que Partitioning est utilisé lorsque les
tables créées par le client ont été partitionnées) des « soupçons d’usage » ou « faux positifs ».

Le terme « faux positif » qui relève de la pratique désigne les usages avérés ne nécessitant
pas de licences supplémentaires. Les « soupçons d’usage » visent des configurations qui
permettraient d’utiliser un pack ou une option, sans que cette utilisation soit réelle.
Nous savons par expérience qu’Oracle LMS exige souvent des licences complémentaires en
présence de « faux-positifs » et de « soupçons d’usage » alors même que nous pouvons
aisément accompagner nos clients pour réduire ces cas.

Par exemple, les bases de données Oracle eBusiness Suite utilisent nativement des packs et
options (comme Partitioning). Dans cette hypothèse, l’outil Easytrust LM for Oracle va
remonter le détail de ces usages pour vérifier qu’aucune utilisation non-prévue au contrat n’a
été réalisée. Dans le cas du Partitioning, nous vérifions que seuls des objets standards de la
eBusiness Suite ont été partitionnés pour éviter au client de devoir acheter des licences
complémentaires pour tout partionnement d’objet spécifique. L’usage est réel, il est toutefois
couvert par les licences eBusiness Suite.

Un autre cas récurrent chez nos clients est l’activation de certains Packs Oracle dans la console
OEM en cochant une case. Cette activation nécessite l’acquisition de licences
complémentaires en application des métriques Oracle. Si toutefois en pratique le client n’en
a pas d’usage avéré, il suffit de décoche la case pour ne plus donner prise aux réclamations
d’Oracle.

Citons encore le cas de l’utilisation de datapump avec l’option metadata_only qui est une
valeur par défaut en version 12.1.0.1. Ce paramétrage par défaut active indûment l’option de
compression qui est ensuite tracée dans la DBA_FEATURE_USAGE_STATISTICS. Ce bug
remonte ainsi un usage d’Advanced Compression qui ne doit pourtant pas être pris en compte
puisque le client n’est pas à l’origine de cet usage.

Les exemples sont très nombreux.

Notre solution Easytrust Licence Management for Oracle est probablement la solution SAM
spécialisée sur un éditeur la plus déployée en France et fait partie des quelques solutions
« vérifiées » par Oracle.

La capacité de cette solution à automatiser le traitement des données brutes, à calculer un

nombre de licences nécessaires et à déterminer une position de conformité, en prenant en

2016 –Easytrust Page 8

 Gestion de logiciels Oracle : l’utilité d’une solution vérifiée par l’éditeur

compte toutes les subtilités des métriques Oracle (faux positifs, exceptions etc.) constitue une
vraie valeur ajoutée.

La force de notre approche dédiée à Oracle est de pouvoir outiller l’optimisation des
architectures et des contrats.

 Ce qu’il faut retenir :

La vérification de l’éditeur est un prérequis pour le choix d’une solution de gestion des
logiciels Oracle. La qualité de l’interprétation des données brutes permet de faire le choix
entre deux solutions vérifiées.

L’outil certifié : une garantie de transparence,

de confidentialité et d’innocuité des scripts
Outre la garantie d’exhaustivité des données brutes, le choix d’une solution vérifiée se justifie
par la transparence, la garantie de confidentialité et d’innocuité des scripts sur les systèmes
qu’elle offre.

En effet, les données collectées par l’outil sont acceptées par l’éditeur et l’usage de l’outil
permet de ne pas exécuter les scripts Oracle ce qui est toujours rassurant pour l’utilisateur,
particulièrement les entreprises pour lesquelles la confidentialité et la sécurité sont
réglementées et contrôlées.

Le refus d’Oracle d’offrir des garanties quelconques en cas d’atteinte aux données ou aux
systèmes rend en effet difficile la conciliation entre la prérogative d’audit de l’éditeur et les
contraintes internes des clients.

Grâce à la console Easytrust for Oracle, l’utilisateur a accès à l’intégralité des données brutes
et interprétées et seules les données exigées de l’éditeur lui sont communiquées après
vérification. Easytrust s’engage en outre à ce que son outil ne perturbe pas la production de
ses clients et prend ses responsabilités à ce titre, offrant ainsi des garanties indispensables à
la bonne gestion de la sécurité et de la confidentialité par les utilisateurs.

 Ce qu’il faut retenir :

L’utilisation d’un outil certifié permet de refuser l’exécution des scripts Oracle et permet
d’avoir des garanties en termes de transparence, de confidentialité et d’innocuité des
scripts sur les systèmes.

2016 –Easytrust Page 9

 Gestion de logiciels Oracle : l’utilité d’une solution vérifiée par l’éditeur

Réserve

Les informations contenues dans ce document correspondent à la vision actuelle de la société

Easytrust à sa date de publication. Easytrust évoluant dans un marché au contexte changeant,
ce document ne peut être un engagement de la part de la société Easytrust sur l’exactitude
des informations fournies.

Ce Livre blanc est fourni à des fins d’information uniquement.

Ce document est publié par Easytrust. La reproduction de tout ou partie de ce document

nécessite l’autorisation expresse d’Easytrust.

2016 –Easytrust Page 10

 Gestion de logiciels Oracle : l’utilité d’une solution vérifiée par l’éditeur

Adresse : 71, Boulevard National 92250 la Garennes

Colombes

URL : http://www.easytrust.com
Email : contact@easytrust.com

2016 –Easytrust Page 11