Un peu plus près des étoiles, mais loin du portefeuille. L’agence spatiale américaine vient de se faire tacler par un rapport d’enquête interne menée par l’OIG (office of the inspector general) sur sa gestion des actifs logiciels. Le document comprend un florilège des mauvaises pratiques en la matière et surtout les dérapages financiers en conséquence.

Plus de 15 M$ de licences Oracle inutilisées

Le plus symptomatique est une dépense de 15 millions de dollars pour des licences Oracle inutilisées au cours de 5 dernières années. Pour sa défense, la NASA a expliqué qu’elle ne voulait pas risquer un audit de licence par l’éditeur en raison de son manque de visibilité sur la gestion des logiciels. Concrètement, elle pensait qu’en cas d’audit, elle subirait des pénalités supérieures à 15 M$. La DSI de l’agence a souligné « qu’il valait mieux ne pas tenter sa chance avec l’audit ».

Le rapport pointe aussi du doigt la dépendance et le verrouillage du contrat avec la firme d’Austin. « La NASA a acheté de grandes quantités de produits Oracle pour soutenir les programmes de la navette spatiale et d'autres opérations de mission au cours de cette période, avec des conditions de licences qui rendaient difficile la transition vers un concurrent en raison des technologies propriétaires », écrit l'OIG. Celui-ci a envoyé un courrier à Oracle concernant l’assouplissement des pratiques du lock-in.

D’autres dérapages et des solutions

Le cas d’Oracle n’est pas isolé. Parmi les autres révélations du rapport, il y a le paiement par la NASA de 4,36 M$ de pénalités pour violation de licence logicielle au cours de l’année fiscale 2021. L’organisation a pu négocier certaines choses pour éviter de payer, mais elle a versé 3,85 M$ à Suse et 415 000 dollars à SAP ou encore 90 000 dollars avec Dassault. Au total, l’auditeur de l’OIG soupçonne la NASA d’avoir payé jusqu’à 20 M$ de pénalités sur les 5 dernières années (en 2017, IBM a récupéré 18,9 M$ dans un audit). En plus du gâchis d’Oracle, la facture de 35 M$ aurait pu être évitée en mettant en place des outils de gestion d’actifs logiciels (SAM). Un investissement d’environ 3 M$ pour l’acquisition et 2,5 M$ par an pour son fonctionnement.

Les dépenses en pénalité et les négociations de la NASA. (Crédit Photo : OIG)

Le rapport n’est pas tendre avec l’organisation du suivi des licences logicielles. Il ne comprend pas pourquoi pas pourquoi les services juridiques ne sont pas dans la boucle des négociations des contrats de licences avec les éditeurs. Incompréhension aussi sur l’absence de suivi de la conformité des licences et la gestion du cycle de vie des logiciels avec un accès privilégié représentant 11 000 utilisateurs entre 2020 et 2022. Une posture qui peut engendrer des problèmes de cybersécurité graves. La NASA a accepté les conclusions du rapport et la direction a déclaré qu'un pilote SAM commencera en octobre 2023, mais que la mise en œuvre à l'échelle de l'agence ne sera pas terminée avant 2027.