Auditer et évaluer un système d’information
Auditer, c’est décrire et qualifier
Auditer un système d’information consiste à l’appréhender dans sa globalité et dans sa complexité, tout en identifiant ce qui fait sa force, sa faiblesse, ainsi que les risques de le dégrader. Pour cela, nous devons disposer d’un outillage pour, d’une part, décrire la situation sans omission et sans rien laisser dans l’ombre, et d’autre part, qualifier cet existant afin d’en avoir une vision critique. La 2MSI nous apporte le soutien méthodologique nécessaire :
-
La matrice en 21 briques nous permet d’organiser les investigations et de ne rien laisser de côté.
-
Les trois critères de supervision, et leurs neuf sous-critères, nous donnent l’outillage pour qualifier le niveau de fonctionnement du SI.
Nous faisons ci-après l’hypothèse que l’audit porte sur la totalité du système d’information pris pour objet.
La matrice 2MSI structure la méthodologie de l’audit
La réalisation de l’audit suppose d’identifier et de collationner les données nécessaires à caractériser le système d’information de l’organisation. Pour chacune des briques de la matrice 2MSI, il s’agit de conduire une démarche d’évaluation.
Ainsi, si l’on considère la brique infrastructures réseau et télécom, la première en haut à gauche de la matrice, il faudra lui appliquer les trois critères et neuf sous-critères définis précédemment, afin d’établir l’état du SI en ce domaine.
Analyse de la brique infrastructures réseau et télécom
Pour qualifier cet état, attribuons une note de 1 à 10 à chacun des trois sous-critères. Celle-ci dépendant de son niveau de satisfaction. La moyenne des sous-critères permet une cotation du critère, lequel est réputé servi s’il obtient une note au moins égale à 8.
Cotation de la brique infrastructures réseau et télécom
Chaque brique (ici, la brique Infrastructures réseau et télécom) est alors évaluée selon le nombre de critères servis et revêt une couleur :
-
Brique gris clair : trois critères servis....
La matrice 2MSI organise les informations nécessaires à la réalisation de l’audit
Une fois la méthode définie, la principale question que se pose l’auditeur, est d’inventorier la matière dont il a besoin pour qualifier ce qu’il a à auditer. Dans cette perspective, nous nous adossons aux neuf sous-critères de cotation afin d’organiser cet inventaire, en répondant pour chacun d’eux à deux questions : que dois-je observer ou collecter ? Quelle méthode vais-je utiliser pour collecter et traiter cette information ?
Nous reprenons ci-après un exemple d’inventaire élaboré pour auditer le SI d’un de nos clients, la Spicojeu, en l’occurrence un important établissement public industriel et commercial :
Qualifier la qualité de la maîtrise d’ouvrage
Éléments à observer et/ou collecter |
Méthodes de collecte et traitement |
Organigramme et définition des responsabilités. |
Observation. Entretiens. Étude des fiches de poste. Si besoin, reconstitution des fiches de poste. |
Outil de gestion de projets : comptes rendus de comités de pilotage ; tableaux de bord ; outils de reporting ; position de la maîtrise d’ouvrage dans les procédures. |
Observation. Entretiens. Étude des documents. |
Compétence de l’intervenant délégataire de la maîtrise d’ouvrage. Posture dans l’organisation. |
Observation. Entretiens. Étude des CV. Entretiens avec l’encadrement supérieur. |
Qualifier la qualité de la maîtrise d’œuvre
Éléments à observer et/ou collecter |
Méthodes de collecte et traitement |
Organigramme et définition des responsabilités. |
Observation. Entretiens. Étude des fiches de poste. Si besoin, reconstitution des fiches de poste. Et/ou étude des contrats de prestations ou d’infogérance. |
Outils de gestion de projets : comptes rendus de comités de pilotage ; tableaux de bord ; outils de reporting ; position de la maîtrise d’œuvre dans les procédures. Outils de gestion de procédure. |
Observation. Entretiens. Étude des documents. Étude des procédures et des méthodes d’intervention... |
Du diagnostic aux préconisations opérationnelles
Les préconisations opérationnelles, c’est-à-dire les actions à conduire, seront produites en utilisant à la fois le découpage en briques de la matrice, et les neuf portes d’entrée de la grille des critères détaillés de supervision du système d’information.
Deux modes de présentation sont possibles : prendre chacune des briques et travailler les actions à entreprendre pour améliorer la situation dans chacun des neuf sous-critères. Ou bien, utiliser les critères pour structurer l’analyse, en les appliquant, chacun, à une ressource et à ses trois niveaux d’intervention.
Rapport d’audit brique par brique, critère par critère
Cette méthode conduit à produire 21 analyses (une par brique), chacune décomposée selon les neuf critères, soit 189 items d’étude. Ce qui, hormis l’inconvénient du volume, a le mérite de la simplicité et de l’opérationnalité. Elle est particulièrement pertinente pour l’audit de grands SI dont le dimensionnement nécessite un fort découpage du plan d’action.
Rapport d’audit par critères
La méthode qui prend appui sur les critères consiste à construire le rapport...
Les priorités d’action et le plan d’action
La matrice 2MSI colorée qui résulte de l’audit du SI identifie très clairement les briques pour lesquelles une action prioritaire doit être entreprise (en noir et en gris foncé). Elle favorise ainsi une approche hiérarchisée et planifiée du plan d’action.
Les actions prioritaires sont mises en évidence par la matrice colorée
Bien entendu, la remise à niveau d’une brique supérieure (préservation de la ressource) peut nécessiter une action préalable sur une brique inférieure. De même, des adhérences entre couches peuvent impliquer de traiter en priorité une brique gris moyen, qui elle-même déverrouille l’action à conduire sur une brique noire.
Retour d’expérience : l’audit SI de la Société nouvelle de transport
C’est à l’occasion de l’audit du SI de la Société nouvelle de transport, une entreprise moyenne à dimension nationale, que nous avons établi la matrice colorée ci-après, enrichie de commentaires synthétiques. Ce niveau de formulation était particulièrement destiné à des décideurs non informaticiens (président, cadres administratifs et commerciaux) avec pour objectif de restituer les points saillants de l’audit et de mettre en évidence les interactions entre l’état du SI et l’état général de l’entreprise. L’utilisation de la matrice colorée s’est avérée particulièrement pédagogique pour créer des représentations imagées de la situation du SI.
La matrice s’avère également efficace pour faire tomber les barrières qui conduisent trop souvent les décideurs, d’une part, à sous-estimer les risques qui pèsent sur leur SI et, d’autre part, à minimiser les conséquences qu’une défaillance du SI aurait sur le fonctionnement de l’entreprise dont ils ont la responsabilité.
Nous avons également eu l’occasion de tester une version plus...