 Résumé
La démarche d’audit informatique proposée vient
palier aux lacunes des démarches classiques en
mesurant le degré ...
Une démarche d’audit informatique
1. Introduction
Depuis les années 70, l’intégration de l’informatique
dans les processus...
Une démarche d’audit informatique
Cobit Control objectives for
information and related
technology
ISACA Méthode accessible...
Une démarche d’audit informatique
l’intelligence artificielle, l’informatique peut palier à la
rationalité limitée de l’ho...
Sous système
d’information client-
produit
Sous système
d’information
personnel
Sous système
d’information qualité
Sous sy...
Une démarche d’audit informatique
- Pérennité de l’application qui consiste à auditer :
 L’existence ou non des procédure...
Une démarche d’audit informatique
1 Le sous système : client- produit
Métier : Réaliser des actions de recherche et d’expe...
Une démarche d’audit informatique
Métier : Développer les actions de la formation continue
Intitulé de
l’application
Test ...
Une démarche d’audit informatique
Métier : Gérer la scolarité des étudiants
Intitulé de
l’application
Test des programmes
...
Une démarche d’audit informatique
Métier : Gérer les stages des étudiants
Intitulé de l’application Test des programmes de...
Une démarche d’audit informatique
Intitulé de l’application Test des programmes de
l’application
Test d’acceptation
par le...
Une démarche d’audit informatique
Intitulé de l’application Test des programmes de
l’application
Test d’acceptation par le...
Une démarche d’audit informatique
Intitulé de
l’application
Test des programmes de
l’application
Test d’acceptation par le...
Une démarche d’audit informatique
Intitulé de
l’application
Test des programmes de
l’application
Test d’acceptation
par le...
Une démarche d’audit informatique
Métier : Gérer le budget de l’école
Intitulé de l’application Test des programmes de
l’a...
Une démarche d’audit informatique
4 Le sous système qualité
Métier : Assurer la qualité
Métier : Assurer l’image de marque...
Une démarche d’audit informatique
activités déjà informatisées). Le découpage
proposé par le référentiel de Cobit version ...
Une démarche d’audit informatique
• http://www.clusif.asso.fr/,site officiel du club
informatique de la sécurité de l’info...
Prochain SlideShare
Chargement dans…5
×

Audit informatique

281 vues

Publié le

La démarche d’audit informatique proposée vient palier aux lacunes des démarches classiques en mesurant le degré de l’alignement stratégique du système d’information. Pour cela, on vérifie l’existence d’un tableau de bord général afin de contrôler la fonction informatique. Nous vérifions le type de la structure de l’organisation et le taux d’informatisation des processus clés pour contrôler les pratiques internes de gestion. Et nous optons pour une méthode de découpage des sys-tèmes d’information en sous-systèmes et métiers pour l’énumération précise des projets informatiques. Fina-lement, la démarche est illustrée par des livrables analy-sant un institut de l’enseignement supérieur.

Publié dans : Économie & finance
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
281
Sur SlideShare
0
Issues des intégrations
0
Intégrations
3
Actions
Partages
0
Téléchargements
7
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Audit informatique

  1. 1.  Résumé La démarche d’audit informatique proposée vient palier aux lacunes des démarches classiques en mesurant le degré de l’alignement stratégique du système d’information. Pour cela, on vérifie l’existence d’un tableau de bord général afin de contrôler la fonction informatique. Nous vérifions le type de la structure de l’organisation et le taux d’informatisation des processus clés pour contrôler les pratiques internes de gestion. Et nous optons pour une méthode de découpage des systèmes d’information en sous-systèmes et métiers pour l’énumération précise des projets informatiques. Finalement, la démarche est illustrée par des livrables analysant un institut de l’enseignement supérieur. Mots clefs : audit informatique, alignement stratégique, système d’information, processus-clés  Abstract The proposed a demarche of computer audit, which comes landing to the gaps of the classical demarches. By measuring the degree of the strategic adaptation of the information system, by the existence of general dashboard, in the objective of controlling the computer function. We verify the type of the structure of the organization, and the rate of computerization of the Key processes to control the internal practices of management. And we opt for a method of division of the information system, for an enumeration precise of the computer projects. Finally, we illustrate the steps of our demarche, by available stemming from the application of our demarche, in a postgraduate school Key-words: audit, strategic alignment, information system, key process Une démarche d’audit informatique. A demarche of computer audit Mohamed Jaouad El Qasmi Professeur habilité, ISCAE-Maroc, Emj37@hotmail.com Ounsa ROUDIES Professeur Ecole Mohammadia D’ingenieurs - Maroc roudies@emi.ac.ma.
  2. 2. Une démarche d’audit informatique 1. Introduction Depuis les années 70, l’intégration de l’informatique dans les processus de l’entreprise est devenue un levier de génération de croissance et un support pour la mise en œuvre de la stratégie. Cette intégration a généré au sein de l’entreprise, les risques informatiques qui sont relatifs aux choix des structures d’organisation, aux modes de fonctionnement et aux méthodes de surveillance des activités du système d’information. L’intégration de l’audit informatique au sein de l’entreprise permet d’initier un processus ponctuel visant à fournir une assurance raisonnable que les objectifs de contrôle adéquats sont atteints, identifier les faiblesses importantes des contrôles existants et en évaluer les risques ainsi que de conseiller les responsables sur les actions correctives. L’audit informatique est un jalon de l’amélioration de la maturité du système d’information de toute entreprise en vue d’établir un équilibre entre les risques et les bénéfices de l’informatique et d’assurer une amélioration quantifiable, efficace et efficiente des processus qui s’y rapporte. Une revue de la littérature des démarches d’audit informatique nous renseigne que l’objectif de ces démarches est d’évaluer la qualité d’un système existant et de décrire les mesures qui permettront de l’améliorer. Les points de contrôle classiques sont le poste de travail utilisateur, le système d’information et enfin la maîtrise du système informatique des points de vue fonctionnel, technique et économique. La difficulté de l’audit informatique se matérialise à notre sens par des questions simples, claires mais non évidentes : • Comment contrôler rigoureusement la fonction informatique ? • Comment découper le système d’information existant ? • Comment cartographier les applications informatiques ? • Comment évaluer les choix et les investissements informatiques ? • Quels sont les critères de performance des pratiques de gestion internes ? L’informatisation des organisations ne signifie plus seulement l’automatisation des activités tertiaires mais également l’exploitation de toutes les ressources d’aide de l’outil informatique l’exécution de ces activités. Ainsi, le vrai rôle de l’informatique est-il de développer une architecture du système d’information qui s’enracine dans les processus opérationnels et qui supporte les orientations stratégiques. L’audit informatique doit commencer à notre sens par l’évaluation de cette fonction informatique alors que la plupart des méthodes d’audit informatique sont orientées vers une culture de la gestion formelle des risques dans les entreprises. L’objectif de notre recherche est la conception d’une démarche d’audit informatique qui ne se limite pas au système informatique mais qui s’étende à l’audit de la conformité du système d’information aux orientations de la stratégie globale de l’organisation. Nous proposons aussi de vérifier la structure de l’organisation et le taux d’informatisation des processus-clés afin de contrôler les pratiques de la gestion interne, laquelle est toujours absente dans les démarches classiques. Nous optons pour une méthode de découpage des systèmes d’information à deux niveaux en sous-systèmes types puis en métiers d’entreprise type, afin d’obtenir une cartographie précise des projets informatiques. Nous avons expérimenté notre démarche sur le cas réel d’un institut de l’enseignement supérieur. La suite de cet article est structurée en 4 parties. Nous commencerons en section 2 par l’analyse des méthodes d’audit informatiques et la mise en évidence de leurs lacunes. Se fondant sur les besoins identifiés, nous décrivons ensuite en section 3 notre démarche. La quatrième section est consacrée à l’illustration de cette démarche. Et nous terminons par dégager une discussion et des orientations pédagogiques en section 5. 2. Limites des méthodes d’audit informatique L’audit informatique est un examen discontinu d’un système d’information informatisé et des structures qui le mettent en œuvre, dans le but de proposer un plan d’action pour en améliorer la qualité [Colleville, 2001]. Plusieurs méthodes permettent de procéder à de tels audits. En France, les plus connues sont Mehari, créée par le Clusif (Club de la sécurité des systèmes d'information français), Ebios (de la Direction centrale de la sécurité des systèmes d'information) et MV3 (de CF6, racheté par Telindus). Citons également la méthode anglo-saxonne Cobit pour ses capacités de contrôle et de présentation de l'existant. Le rôle des méthodes d'audit informatique consiste à mesurer les pratiques de sécurité existantes puis à dresser l'inventaire des risques qui pèsent sur l'activité de l'entreprise. Ces méthodes parfois similaires, parfois opposés, sont toujours complémentaires dans leur approche, quand il s’agit de catégoriser les risques, déterminer les menaces et d’identifier les anomalies (tableau 1). Nom Signification Origine Caractéristiques 1
  3. 3. Une démarche d’audit informatique Cobit Control objectives for information and related technology ISACA Méthode accessible à tous, dans un langage simple. Les outils fournis permettent la mesure des performances mais la méthode est aujourd’hui davantage assimilée à une méthode de gouvernance des SI. Ebios Expression des besoins et identification des objectifs de sécurité DCSSI Notamment déployée au sein de l’administration française, cette méthode comprend une base de connaissances et un recueil de bonnes pratiques. Elle est téléchargeable sur le site de la DCSSI et s’accompagne d’un logiciel. Feros Fiche d’expression rationnelle des objectifs de sécurité SCSSI C’est un document permettant à une autorité donnée (secteur secret défense notamment) de définir le niveau d’engagement de sa responsabilité dans l’application d’une politique de sécurité. Marion Méthodologie d’analyse de risques informatiques orientés par niveaux CLUSIF Elle fonctionne par questionnaires débouchant sur 27 indicateurs répartis en 6 catégories. 2 phases (audit des vulnérabilités et analyse des risques) permettent la définition et la mise en œuvre de plans d’actions personnalisés. Mehari Méthode harmonisée d’analyse de risques CLUSIF Elle s’articule autour de 3 plans. Permet désormais d’apprécier les risques au regard des objectifs de l’entreprise. Tableau 1. Caractéristiques de quelques méthodes d’audit MEHARI s’articule sur trois plans : • le plan Stratégique de sécurité qui fixe les objectifs de sécurité et les indicateurs de mesure et détermine le niveau de gravité des risques encourus. • les plans Opérationnel de Sécurité qui définit, par site, les mesures de sécurité à prendre. • le plan Opérationnel d’Entreprise axé sur le pilotage stratégique et le suivi d’indicateurs clés. La méthode EBIOS (Expression des Besoin et Identification des Objectifs de Sécurité) qui a été élaborée par la DCSSI (Direction Centrale de la Sécurité des Systèmes d’Information), est particulièrement déployée au sein de l’administration française. Elle comprend une base de connaissances qui décrit les types d’entités, les méthodes d’attaques, les vulnérabilités, les objectifs de sécurité et les exigences de sécurité. Elle propose également un recueil des meilleures pratiques d’élaboration de schémas directeurs SSI, la rédaction de profils de protection, de cibles de sécurité et de SSRS (System-specific Security Requirement Statement) qui proviennent de l’OTAN. Cette méthode se veut un outil de gestion des risques mais aussi de sensibilisation, de négociation et d’arbitrage. La méthode COBIT (Control objectives for information and technology) vient, quant à elle, de l’ISACA (Information Systèmes Audit and Control Association). Elle est diffusée en France par la branche française de cette association : l’AFAI (Association Française de l’Audit et du Conseil Informatique). Concernant le référentiel Cobit version 4, la principale difficulté de son application se matérialise par l’absence d’une démarche de découpage du système d’information en métiers d’entreprise. Ce référentiel découpe n’importe quel environnement en quatre domaines de management : - Planification et orientation ; - Acquisition et implémentation ; - Distribution et support ; - Et monitoring et évaluation. Lorsqu’on détaille le processus de chaque domaine, on se rend compte de la difficulté d’utiliser ce référentiel pour gérer l’ensemble des métiers d’une organisation, surtout ceux qui découlent de son activité. En effet, les processus de Cobit touchent les niveaux de pilotage et de support étroitement liés à la fonction informatique dans son aspect technique, qui renseigne uniquement sur ce que fait l’informatique, ignorant son aspect managérial et qui renseigne sur sa raison d’exister, c'est- à-dire supporter la stratégie et la prise de décision. L’une des critiques majeures formulées à l’égard de ces méthodes est leur incapacité de fournir des réponses à la question pertinente suivante : y a-t-il un alignement stratégique du système d’information par rapport à la stratégie de l’organisation? En négligeant la dimension stratégique de l’informatique, ces méthodes se contentent de contrôler ce que fait l’informatique, ignorant ce qu’il doit faire et quelle sera sa finalité, comme outil d’aide à la décision, ceci est dû à notre sens, à la définition même de l’informatique, puisque plusieurs spécialistes le définissent comme étant une science et un ensemble de moyens pour le traitement automatique de l’information. Cette définition explique les attributions de l’informatique dans une organisation, mais ne renseigne jamais sur sa raison d’exister. Les travaux de Simon dédiés à la prise de décision ont redéfinit le rôle de l’informatique comme outil d’aide à la prise de décision. Selon Simon, l’homme a une rationalité limitée pour prendre les bonnes décisions, puisque les individus commettent des erreurs de jugement et n’atteignent pas toujours les buts qu’ils se sont fixés : « la compétence d’un individu, est liée à la fois à la quantité d’informations contenue dans la mémoire à long terme, mais surtout à sa capacité à utiliser mieux sa mémoire à court terme, c'est-à-dire sa capacité à sélectionner les informations les plus pertinentes compte tenu de l’objectif fixé au traitement de l’information » (Simon, 1959). Simon se demande alors : « s’il est possible de construire un outil qui rende compte des mécanismes de prise de décision et qui puisse être descriptif, analytique, opérationnel et testable. Grace à 2
  4. 4. Une démarche d’audit informatique l’intelligence artificielle, l’informatique peut palier à la rationalité limitée de l’homme et constituer un outil précieux d’aide à la décision » (Simon, 1969). Partant de cette définition, l’audit informatique doit s’étendre à l’audit des systèmes d’information, pour mettre en évidence la dimension stratégique de cet audit et mesurer le degré d’alignement stratégique des systèmes d’information par rapport à la stratégie et leur contribution à la prise de décision. Ainsi, les deux dimensions organisation et systèmes d’information doivent-elle être pensées simultanément pour l’intégration rigoureuse des technologies de l’information et des télécommunications. La dimension organisationnelle de l’audit informatique passe par le contrôle de l’informatisation des processus afin d’assurer la qualité des services et des produits. La dimension opérationnelle de l’audit informatique qui consiste à auditer les applications informatiques, ne peut se faire sans une méthode de découpage du système d’information, permettant d’identifier d’abord les projets informatiques. Or, nous relevons l’absence d’une méthode de découpage des systèmes d’information capable d’identifier avec précision les projets informatiques c'est-à-dire les domaines informatisés ou à informatiser. Il est clair que l’audit rigoureux repose sur une vision globale de l’entreprise, basée sur une cartographie précise de toutes les composantes du système d’information. Le découpage du système d’information en domaines de gestion est la phase la plus créative dans la planification du système d’information (Bal, 1992). Il vise les objectifs suivants : 1. Enumérer avec précision les besoins de l’entreprise à informatiser, c'est-à-dire les projets informatiques; 2. Assurer la compatibilité entre la définition globale du système d’information et sa réalisation progressive; 3. Intégrer l’évolution de la technologie; 4. Améliorer l’efficacité des utilisateurs et spécialistes des technologies de l’information. Ainsi, considérons-nous que les méthodes d’audit informatiques classiques doivent intégrer trois nouvelles dimensions : stratégique, organisationnelle et opérationnelle. La dimension stratégique ne doit pas se limiter à la sécurité et consiste à auditer la fonction informatique. Pour ce faire, il faut mesurer le degré d’alignement stratégique du système d’information existant. Ceci suppose l’existence de tableau de bord général, issue d’un Datawerehouse qui relie les différentes bases de données. La dimension organisationnelle passe par le contrôle des pratiques de gestion interne pour assurer la qualité de services et de produits. Ceci est recherché notamment par la certification ISO 9000 dont la version 2000 met l’accent sur l’approche processus (Verdoux, 2003). Ce contrôle consiste à vérifier la structure de l’organisation : s’agit-il d’une structure pyramidale ou transversale ? Une organisation traditionnelle est souvent qualifiée de pyramidale dans le sens où elle présente une cascade de directions qui se rapportent à la direction générale laquelle se rapporte elle-même à la présidence (Verdoux, 2003). Ainsi, le client est-il perdu de vue et la satisfaction de ses exigences passe au second plan. L’organisation doit alors se transformer en une organisation orientée vers le client, par l’adoption d’une version transverse. Se pose alors le degré d’informatisation des processus- clef, de bout en bout du besoin du client jusqu’à sa satisfaction. La 3ème dimension est la dimension opérationnelle de l’audit car l’absence d’une méthode de découpage dans les méthodes d’audit classiques complique la tâche de l’auditeur. L’avantage d’une méthode de découpage est d’identifier les projets informatiques existants mais aussi les métiers et les domaines non informatisés. Nous proposons dans ce sens un découpage en métiers d’entreprise (El Qasmi, 2002) capable d’énumérer avec précision les projets informatiques et d’obtenir une cartographie de la réalité. Cette démarche est décrite dans la section suivante. 3. Notre démarche d’audit informatique Pour intégrer les dimensions stratégique, organisationnelle et opérationnelle dans la démarche d’audit, nous proposons de procéder selon les trois étapes : Etape 1 : Contrôle de la fonction informatique. (dimension stratégique) Objectif : étudier l’adéquation du système d’information existant avec les orientations de la stratégie globale de l’organisation. Moyen de mise en œuvre : Vérifier l’existence d’un tableau de bord général, alimenté à partir des différentes bases de données existantes. Etape 2 : Contrôle des pratiques de la gestion interne. (Dimension organisationnelle) Objectif : s’assurer que le système d’information existant contribue à la qualité des services et produits par l’informatisation des processus clefs. Moyen de mise en œuvre : vérifier la structure de l’organisation et le degré d’informatisation des processus clef qui permettent la satisfaction du client. Etape 3 : Identification des projets informatisés (dimension opérationnelle) Objectifs : identifier les applications correspondant à chaque métier de l’organisation. Moyens de mise en œuvre : nous proposons notre méthode de découpage des systèmes d’information en métiers de l’entreprise (El Qasmi, 2002). Nous commencerons par tracer les grandes lignes de notre démarche avant de préciser le découpage du système d’information en métiers. Ceci servira de fondement à l’audit informatique décrit en troisième section.
  5. 5. Sous système d’information client- produit Sous système d’information personnel Sous système d’information qualité Sous système d’information financier Une démarche d’audit informatique 3.1 Schéma de la démarche Le découpage du système d’information en métiers a pour but d’établir une cartographie de la réalité de l’entreprise. Le point de départ d’une telle architecture orientée métiers est de commencer par trouver les réponses aux événements habituels, c'est-à-dire les processus d’activités de l’entreprise, ce qui suppose une bonne connaissance de ces processus. Aborder l’entreprise sous l’angle des processus, c’est d’abord mettre en avant sa finalité exprimée en terme de produit dans sa relation avec le client. Une première idée serait de considérer le système Client-Produit comme un sous- système de base du système d’information. Notre objectif étant de mettre en évidence les métiers d’entreprise, nous répondrons aux questions pertinentes suivantes : qui fait quoi ? Comment ? Par quels moyens ? La réponse à ces questions nous conduit à un premier résultat : le sous-système Personnel répondra à la question « qui fait quoi ? » ; le sous-système Qualité répondra à la question : « comment ? » ; le sous-système Finance répondre à la question « par quels moyens ? ». Ainsi, les quatre sous-systèmes de base du système d’information sont-ils : Figure 1: Processus de découpage du SI en métiers (EL QASMI, 2002) Le sous-système Personnel, Le sous-système Client-Produit, Le sous-système Qualité, Le sous-système Finance. Ces quatre sous-systèmes seront le point de départ d’un découpage intermédiaire en métiers principaux qui seront à leur tour découpés en d’autres métiers (Figure 4.1). 3.2 Découpage des sous-systèmes d’information en métiers principaux Le sous-système financier comprend les métiers principaux suivants : optimiser le résultat de l’entreprise, financer et gérer les recettes et les dépenses. Le sous-système client/produit comprend tout ce qui touche le client, le produit ou les deux à la fois, ce qui se traduit par les 4 métiers : Acheter, Vendre, Produire, Livrer au client. Le sous-système personnel est décrit à travers les métiers : Recruter, Utiliser, Payer, Former et Motiver le personnel. Le sous-système qualité est abordé par ses deux principales composantes : l’assurance de la qualité du produit et celle des services. 3.3 Audit des applications informatiques Objectif : Tester les programmes de l’application, l’acceptation des données par les utilisateurs et la pérennité de l’application. Moyens de mise en œuvre : nous proposons de reprendre les points de contrôles qui existent dans la plupart des méthodes d’audit informatique, et qui sont : - Test des programmes de l’appréciation qui consiste à auditer :  Le logiciel de développement;  La structure des programmes;  L’existence ou non d’un dossier d’analyse;  L’existence d’un cahier des charges;  L’existence d’une méthode de conception;  Programmation structurée ou non;  Jeux de tests sur les programmes. - Test d’acceptation par les utilisateurs qui consiste à auditer :  Les éditions de sortie;  Les écrans de saisie;  Les modalités de la saisie;  Les résultats des éditions de sortie;  Les programmes de contrôle lors de la saisie et de l’édition des sorties. - Contrôle programmé qui consiste à auditer :  L’accès à une application  L’accès à une édition de sortie  L’accès à un écran de saisie  L’accès à un programme donné Analyse des activités de l’entreprise = que fait l’entreprise ? Analyse des moyens financiers = par quels moyens ? Analyse des ressources humaines = qui fait quoi ? Analyse de la qualité des services et produits Mise en œuvre du découpage Découpage des métiers principaux en métiers Validation Organisationduprojetdedécoupagedusystème d’informationglobalenmétiers Découpage des sous systèmes en métiers principaux 4
  6. 6. Une démarche d’audit informatique - Pérennité de l’application qui consiste à auditer :  L’existence ou non des procédures de sauvegardes  L’existence ou non des procédures de reprise  L’accès à un programme donné - Pérennité de l’application qui consiste à auditer :  L’existence ou non des procédures de sauvegardes;  L’existence ou non des procédures de reprise. 4. Application de notre démarche Cette étude de cas est extraite d’un cas réel d’audit d’un institut d’enseignement supérieur. Nous mettrons l’accent sur les livrables. Etape 1 : Contrôle de la fonction informatique : Livrable1 : l’institut de l’enseignement supérieur sujet de notre audit ne dispose pas de tableau de bord général alimenté à partir des différentes bases de données auditées. Par conséquent, le système d’information existant n’est pas aligné à la stratégie globale de l’école. Etape 2 : Contrôle des pratiques internes de gestion : Livrable 2 : la structure de l’institut est pyramidale, sans aucune vision transversale permettant une veille stratégique et qui renseigne sur l’environnement extérieur. Aucune norme de la qualité et aucune informatisation des processus clefs assurant la qualité des services et des produits. Etape 3 : Identifications des projets informatiques informatisés ou non Livrable3 : Le sous-système Client- produit découpé en métiers suivants : - réaliser des actions de recherche et d’expertise ; - développer les actions de la formation continue ; - gérer la scolarité des étudiants ; - gérer les stages des étudiants ; - assurer l’accès à la documentation ; - gérer le centre de calcul ; - assurer l’hébergement et la restauration des étudiants ; - gérer le patrimoine de l’institut; - gérer le matériel de l’école. Le sous- système personnel découpé en métiers suivants : - Gérer les relations avec les étudiants ; - Gérer personnel ; - Payer personnel ; - Former personnel ; - Motiver personnel. Le sous-système Financier découpé en métiers suivants : - Optimiser les résultats de l’Ecole ; - Assurer la comptabilité ; - Gérer le budget de l’école. Le sous-système qualité découpé en métiers suivants : - Assurer la qualité de la formation des ingénieurs et des docteurs ; - Assurer l’image de marque de l’institut. Etape 4 : Audit des applications informatiques : Nb : L’audit de chaque application est livré sous forme de tableau récapitulatif des différents points de contrôle avec la mention : inexistante, pour les métiers non informatisés. 5
  7. 7. Une démarche d’audit informatique 1 Le sous système : client- produit Métier : Réaliser des actions de recherche et d’expertise
  8. 8. Une démarche d’audit informatique Métier : Développer les actions de la formation continue Intitulé de l’application Test des programmes de l’application Test l’acceptation par les utilisateurs Contrôles programmés Pérennité de l’application Sauvegardes et reprises Inexistante
  9. 9. Une démarche d’audit informatique Métier : Gérer la scolarité des étudiants Intitulé de l’application Test des programmes de l’application Test d’acceptation par les utilisateurs Contrôles programmés Pérennité de l’application Sauvegardes et reprises Inexistante Intitulé de l’opération Test des programmes de l’application Test d’acceptation par les utilisateurs Contrôles programmés Pérennité de l’application Sauvegardes et reprises Gestion Estudiantine L’outil de développement est FOXPRO Il y a une logique d’enchaînement des modules conformément aux modalités d’exploitation Pas de contrôle d’accès à l’application Inexistence des procédures de sauvegarde Absence d’un dossier d’analyse Les éditions de sorties répondent aux besoins des utilisateurs Pas de contrôle de saisie des données Inexistence des programmes de reprises Méthode de conception est : MCX Difficulté pour gérer le choix des matières ou les matières par blocs Pas de contrôle de sorties Inexistence des procédures de sécurité des données Absence des cahiers de charges
  10. 10. Une démarche d’audit informatique Métier : Gérer les stages des étudiants Intitulé de l’application Test des programmes de l’application Test d’acceptation par les utilisateurs Contrôles programmés Pérennité de l’application Sauvegardes et reprises Inexis tante Métier : Assurer l’accès à la documentation Intitulé de l’application Test des programmes de l’application Test d’acceptation par les utilisateurs Contrôles programmés Pérennité de l’application Sauvegardes et reprises Gestion documentaire en cours d’installation Logiciel de développement : ALEXANDRIE Métier : Gérer le centre de calcul Intitulé de l’application Test des programmes de l’application Test d’acceptation par les utilisateurs Contrôles programmés Pérennité de l’application Sauvegardes et reprises Gestion du matériel informatique au centre du calcul Outil de développement : SGBD=Access Les états de sortie fournis sont : - Gestion des ordinateurs - Gestion des imprimantes - Gestion des logiciels Voir NB Voir NB Existence d’un dossier d’analyse NB= Cette application n’est pas utilisée pour le moment L’application ne permet pas le suivi de la maintenance du matériel Métier : Assurer l’hébergement et la restauration des étudiants 6
  11. 11. Une démarche d’audit informatique Intitulé de l’application Test des programmes de l’application Test d’acceptation par les utilisateurs Contrôles programmés Pérennité de l’application Sauvegardes et reprises Inexistante Métier : Gérer le patrimoine de l’école
  12. 12. Une démarche d’audit informatique Intitulé de l’application Test des programmes de l’application Test d’acceptation par les utilisateurs Contrôles programmés Pérennité de l’application Sauvegardes et reprises Inexistante Métier : Gérer le matériel de l’école Intitulé de l’application Test des programmes de l’application Test d’acceptation par les utilisateurs Contrôles programmés Pérennité de l’application Sauvegardes et reprises Inexistante Métier : Gérer les relations avec les étudiants Intitulé de l’application Test des programmes de l’application Test d’acceptation par les utilisateurs Contrôles programmés Pérennité de l’application Sauvegardes et reprises Inexistante 2 Le sous système personnel Métier : Gérer le personnel Intitulé de l’application Test des programmes de l’application Test d’acceptation par les utilisateurs Contrôles programmés Pérennité de l’application Sauvegardes et reprises Inexistante Métier : Payer le personnel 7
  13. 13. Une démarche d’audit informatique Intitulé de l’application Test des programmes de l’application Test d’acceptation par les utilisateurs Contrôles programmés Pérennité de l’application Sauvegardes et reprises Gestion des salaires SGBD = Foxpro Les éditions de sortie sont : Etat de la paie Etat des crédits Etat des mutuelles Etat des retraites Pas de contrôle d’accès à l’application Inexistence des procédures de sauvegardes Absence d’un dossier d’analyse Pas de contrôle de sortie des donnéesAbsence d’une méthode de conception Absence de la rubrique diplôme Inexistence des procédures de reprise Absence de cahier des charges Absence de communication avec la gestion des carrières Pas de contrôle des sorties Métier : Former le personnel
  14. 14. Une démarche d’audit informatique Intitulé de l’application Test des programmes de l’application Test d’acceptation par les utilisateurs Contrôles programmés Pérennité de l’application Sauvegardes et reprises Inexistante Métier : Motiver le personnel Intitulé de l’application Test des programmes de l’application Test d’acceptation par les utilisateurs Contrôles programmés Pérennité de l’application Sauvegardes et reprises Inexistante 3 Le sous système financier Métier : Assurer la comptabilité Métier : optimiser les résultats de l’école Intitulé de l’application Test des programmes de l’application Test d’acceptation pour les utilisateurs Contrôles programmés Pérennités de l’application : sauvegarde et reprise Suivi budgétaire Développé par Excel Les sorties sont : - Etat des émissions ; - Etat des paiements ; - Etat des recettes. - Pas de contrôle d’accès à l’application - Pas de procédures de sauvegardes - Absence de dossier d’analyse - Absence de méthode de conception - Pas de contrôle de saisie des données - Pas de procédures de reprise Absence de cahiers de charges - Pas de contrôle des sorties. - Pas de procédure de sécurité des données Intitulé de l’application Test des programmes de l’application Test d’acceptation pour les utilisateurs Contrôles programmés Pérennités de l’application : sauvegarde et reprise Inexistante 8
  15. 15. Une démarche d’audit informatique Métier : Gérer le budget de l’école Intitulé de l’application Test des programmes de l’application Test d’acceptation pour les utilisateurs Contrôles programmés Pérennités de l’application : sauvegarde et reprise Gestion du compte hors budget Développée par Excel Pas de logique d’enchaînement des modules conforment aux modalités de saisie Pas de contrôle d’accès à l’application Inexistence de procédure de sauvegarde Inexistence de procédure de reprisePas de contrôle de saisie des données Inexistence de procédure de sécurités
  16. 16. Une démarche d’audit informatique 4 Le sous système qualité Métier : Assurer la qualité Métier : Assurer l’image de marque de l’école - Le site web de l’institut a été développé 8 ans plutôt ; - Il contient des informations erronées (exemple : l’ancien organigramme) ; - L’ergonomie n’est pas assurée ; - L’interface homme / machine n’est pas performant ; - Pas de logique d’enchaînement des modules. 5. Discussion et orientations pédagogiques La relation entre le système d’information et la stratégie de l’entreprise est primordiale pour la survie des oganisations. L’alignement stratégique est devenu une préoccupation de premier ordre des décideurs d’entreprise. L’enjeu fondamental de l’alignement stratégique est de faire du système d’information un atout au service de la stratégie de l’entreprise. Le découpage du système d’information en domaines de gestion ou en métiers est la phase la plus créative dans la planification des systèmes d’information dans le but de supporter la stratégie de l’organisation. Les méthodes d’audit classiques ne permettent pas de contrôler l’alignement stratégique des systèmes d’information par rapport à la stratégie de l’organisation. Elles ne permettent pas de contrôler le type de la structure de l’organisation à auditer car si l’organisation est qualifiée de pyramidale, « la stratégie globale est ainsi déclinée en autant de sous-stratégies que de directions. Et chaque direction fonctionne en relative autonome, avec une certaine indépendance » (Verdoux, 2003). L’entreprise orientée processus élabore une véritable interaction entre la stratégie de l’entreprise qui donne le sens, les processus qui donnent la valeur ajoutée pour la satisfaction des parties prenantes et les résultats qui représentent la finalité attendue » (Verdoux, 2003). Les difficultés que nous avons rencontrées lors de notre audit sont exprimées par les questions suivantes : Comment découper le système d’information pour une énumération précisé des activités à informatiser ? Comment contrôler l’alignement stratégique du système d’information par rapport à la stratégie de l’organisation ? Et comment mesurer le degré de performance du système et sa participation dans la qualité des produits et des services ? Les leçons tirées de cet audit se résument dans les points suivants : 1- Le problème du découpage des systèmes d’information est un problème majeur pour les organisations. Il détermine les activités à informatiser, et conditionne les choix de modélisation et les options qui seront prise lors de l’évolution des systèmes d’information : En optant pour une méthode de découpage des systèmes d’information en métiers, nous avons abordé la complexité de l’école de l’enseignement supérieur sujet de notre audit. Les raisons qui nous ont poussées à opter pour le découpage du système d’information en métiers sont les suivants : a) Les méthodes d’audit classiques ne permettent pas de retrouver les activités à informatiser, et se contentent d’auditer ce qui existe (les Intitulé de l’application Test des programmes de l’application Test d’acceptation pour les utilisateurs Contrôles programmés Pérennités de l’application : sauvegarde et reprise Inexistante 9
  17. 17. Une démarche d’audit informatique activités déjà informatisées). Le découpage proposé par le référentiel de Cobit version 4 (4 domaines et 34 processus), ne permet pas d’auditer la fonction informatique dans sa dimension stratégique. b) Notre méthode de découpage nous a permis de constater que l’informatique dans l’école supérieur sujet de notre audit est au service de la productivité, s’éloignent ainsi d’une architecture « client-services ». c) Ce découpage en métiers, nous a permis d’identifier les métiers selon lesquels on peut capitaliser des savoirs, ce qui peut influencer par la suite la réussite du projet de capitalisation des connaissances. 2- L’école doit procéder à une mise en œuvre d’une approche processus, pour améliorer son fonctionnement. Le management par processus permettra à l’école: - De traquer la valeur ajoutée ; - De gérer et optimiser les interfaces ; - D’assurer la qualité de ces produits et services ; - Et de faciliter le benchmarking. 3- Les activités automatisées de l’école ont donné lieu à des bases de données éparpillées géographiquement sans aucun lien entre elles. Relier ces bases de données par un datawerhouse orienté métiers, va permettre d’extraire les informations utiles pour la prise de décision, et d’alimenter le tableau de bord général et qui va participer à l’alignement stratégique du système d’information par rapport à la stratégie. 4- Enfin, l’équipe du projet de l’audit informatique doit contenir d’autres compétences dans d’autres domaines différents de l’informatique, notamment le management et l’organisation. Références • G.Ballantzian(1992).Les schémas directeurs stratégiques .Edition :Masson • Carlier,Alphonse.(1994).stratégie appliquée à l’audit des systèmes d’information : les approches méthodologiques et l’audit qualité.Paris : Hermes • Chantal, Morley (2002). Changement organisationnel et modélisation des processus. Actes du colloque de l’AIM, Novembre 2000. Montpellier. France • Collignon, Nicole ; Lorau, Yvon-Michel; Luc Verleye, Clet. (1990).Les principes de la sécurité informatique : guide d’audit.Paris :Hermes. • Colleville,Luc. Réussir un projet informatique. (2001).paris :Eyrolles. • Colleville,Luc. (1991). La gestion d’un centre informatique. Paris : Eyrolles. • Club informatique des grandes Entreprises Françaises. (2000).La sécurité à l’heure d’Internet. Paris : CIGREF. • Club de la sécurité informatique français. (Février 1997). Evaluation des conséquences économiques des incidents et sinistres relatifs aux systèmes informatiques. France : La commission bancaire. • Conseil supérieur de l’ordre des experts comptables et des comptables agrées. Le diagnostic des systèmes informatiques français.(1999).Préconisations pour l’élaboration d’un Code de Déontologie informatisés : Guide d’application des recommandations. O.E.C.C.A. • Derrien, Yann. Les techniques de l’organisation informatique. Paris : DUNOD. • Madoz, jean-Piere.(2003).L’audit et les projets. Paris : AFNOR • Faurie, Sylvain (1991). L’audit informatique : une nécessité tant pour l’entreprise que pour l’auditeur financier. Revue Economie et comptabilité, n° 176 • Laporte, Hélène ; Prudhomme, Philippe.(1999). Audit informatique dans les entreprises : Evaluation du contrôle interne et contrôle des comptes. Revue française de comptabilité, n° 316. • Mohamed Jaouad El Qasmi (2002), le système d’information orienté dans les métiers d’entreprise. Revue des sciences de gestion. France, n° 198, 2002. • OUAZZANI, Adil (1999).Audit informatique : Le cas d’une entreprise du secteur public au Maroc. Revenue Française de Comptabilité, n°316 • Simon Herbert A. (1959) Théories of Decision Making And Behavior Science.American economic review,49,n°1 • Simon Herbert A. (1969).The sciences of the artificial. American economic review71, n°2 • Simon Herbert A. (1959).Technologie is not the problem .Princeton University Press • Verdoux Alain, (2003), l’entreprise orientée processus .Editions d’organisation • http://www. AFAI.FR , site officiel de l’association française de l’audit et du conseil informatique .visité le 13/04/2004 • http://www.scssi.gouv.fr/,serveur thématique de la France sur la sécurité des systèmes d’information. visité le 10/04/2004 • http://www.cigref.fr/,site officiel du club informatique des grandes entreprises françaises. visité le 14/05/2004 10
  18. 18. Une démarche d’audit informatique • http://www.clusif.asso.fr/,site officiel du club informatique de la sécurité de l’information français. visité le 13/04/2006 • http://www.itaudit.org,The premier information technology ressource for internal auditors visité le 17/07/2004. 11

×