L'AUDIT "PRATIQUE"

DES SYSTEMES D'INFORMATION, C'EST QUOI ?

Il y a bien des situations o l'audit peut favoriser le progrs, la mise niveau, l'efficience, la maturit des systmes d'information... Quelles que soient les situations, l'audit "pratique" est utilis comme un outil de mesure. Vincent IACOLARE (28/01/2009)

Sommaire
L'audit financier sinon rien ? ..............................................................................................1
L'audit des systmes d'information est souvent vu sous l'angle des audits financiers :.............................1 Y-a-t-il d'autres approches que "financire" de l'audit des systmes d'information ?.................................2

Audit comme outil de mesure, a fonctionne comment ? ..................................................2

Que peut-on bien mesurer ? .......................................................................................................................2 Alors comment fiabiliser la mesure restitue par leurs audits "pratiques" ? ...............................................3 Quels sont les objectifs d'un audit pratique ?..............................................................................................3

Mthodique, pourquoi et comment ? .................................................................................4

Pourquoi faut-il tre mthodique ? ..............................................................................................................4 Comment tre mthodique ?.......................................................................................................................4 Indpendant, comment ?.............................................................................................................................5 Un rfrentiel. Lequel choisir ? ...................................................................................................................5

L'audit des systmes d'information est souvent vu sous l'angle "audit financier". Est-ce la seule approche ? Il y a pourtant bien des situations o l'audit peut favoriser le progrs, la mise niveau, l'efficience, la maturit des systmes d'information ... et donc avec une approche plus "pratique". Quelles que soient les situations, l'audit "pratique" est utilis comme un outil de mesure. L'audit se prsente alors comme un examen mthodique et indpendant permettant de mesurer une situation par rapport un rfrentiel. Les caractres "mthodique" et "indpendant" sont essentiels. Mais l'auditeur et sa ncessaire matrise oprationnelle des systmes d'information sont fondamentaux.

L'AUDIT FINANCIER SINON RIEN ? L'audit des systmes d'information est souvent vu sous l'angle des audits financiers :
* Qui est demandeur de ce type d'audit ?

SYNERTAL SARL au capital de 10 000

55, chemin du cros du pont F-13710 Fuveau

Siret Aix en provence 487 970 451 000 18

04 42 68 14 56 contact@synertal.fr www.synertal.fr 1/6

09 79 36 87 24

Audit pratique des SI-c est quoi_www.synertal.com_syn.doc version du 28/01/09 par Iacolare 28/01/09 Synertal - Diffusion-reproduction interdite

Le demandeur peut tre interne (direction financire, maison mre, etc.) ou externe (la Commission Europenne, OSEO, la DGI, mission de commissaire aux comptes, etc.). * Quelles informations sont importantes? Toutes les informations (financires ou non) lies la pertinence des dpenses peuvent tre importantes. Des audits et expertises techniques font souvent partie d'un audit financier. Une information isole n'est pas significative. Ce sont les associations d'informations qui permettent de tirer des conclusions * Quels sont les objectifs, consquences (et sanctions) d'un audit financier ? L'objectif n'est pas de "punir", mais d'identifier des risques et des faiblesses, et d'en tirer des recommandations pour des actions correctives. Cependant, il est vrai qu'il y a souvent des consquences financires (Crdit Impts Recherche, subventions europennes, approbation des comptes, etc.)

Y-a-t-il d'autres approches que "financire" de l'audit des systmes d'information ?

L'audit dit "pratique" est souvent aussi un pralable une majorit d'actions lies aux systmes d'information, comme par exemple : * pour une PME: pour mesurer l'adquation des services internes en systmes d'information utiliss par les salaris pour leur utilisation oprationnelle quotidienne et pour amliorer ces services * pour une TPE proposant des produits et services en systmes d'information : pour qualifier et amliorer l'offre d'outils et services destine aux clients de la socit * pour une banque : pour s'assurer de la conformit de la production informatique aux standards iso 9001, iso 20000-1 et iso 27001 * pour les DSI de moins de 100 personnes de divers secteurs (nergie, jeux, hpitaux, ...) : pour l'amlioration et la validation des lments organisationnels, fonctionnels et techniques des processus de Service Management. * pour un diteur de logiciel de paye : pour s'assurer de la conformit de l'application aux exigences rglementaires (Sarbanne Oxley...) * pour un oprateur tlphonique international : pour s'assurer du dploiement homogne des mthodes de conception, production, administration, supervision (...) des systmes d'information

AUDIT COMME OUTIL DE MESURE, A FONCTIONNE COMMENT ? Que peut-on bien mesurer ?
L'audit "pratique" sert mesurer :
SYNERTAL SARL au capital de 10 000
55, chemin du cros du pont F-13710 Fuveau

Siret Aix en provence 487 970 451 000 18

04 42 68 14 56 contact@synertal.fr www.synertal.fr 2/6

09 79 36 87 24

Audit pratique des SI-c est quoi_www.synertal.com_syn.doc version du 28/01/09 par Iacolare 28/01/09 Synertal - Diffusion-reproduction interdite

* si les activits et les rsultats satisfont aux dispositions prtablies * si ces dispositions sont mises en uvre de faon efficace, efficiente... * si elles sont aptes atteindre les objectifs. Comme tout outil de mesure, un audit n'a de rel intrt que si il permet de raliser une mesure fiable. Quel crdit peut-on donner la temprature restitue par un thermomtre dfaillant ?

Alors comment fiabiliser la mesure restitue par leurs audits "pratiques" ?

* respect des normes et standards reconnus en matire de matrise des techniques d'audit comme l'iso 19011 "Lignes directrices pour l'audit des systmes de management : conseils pour le management d'un programme d'audit, les activits de l'audit et les comptences des auditeurs". * utilisation de bases d'expriences partages entre auditeurs : - techniques d'chantillonnage des thmes, sites, activits... audits - consolidation, croisement et compltude des chantillonnages sur la dure pour avoir la mesure la plus complte et la plus fiable possible, - check-lists d'audit par secteurs d'activit (SI et banque, SI et nuclaire, SI et TPE...) et par thmatique des systmes d'information (conception, dveloppement, infrastructure, production....) * adaptation des tapes de l'audit et de l'quipe d'audit la taille de la DSI audite (audit pour DSI de moins de 10, 50, 100 et plus de 100 oprationnels) * mobilisation d'un rseau d'experts techniques sectoriels (banque, industrie...) et mtiers (production de services, production informatique, conception, tiercemaintenance applicative) en appui des auditeurs selon leurs besoins pour garantir le caractre oprationnel de l'audit.

Quels sont les objectifs d'un audit pratique ?

Les objectifs de la mesure sont divers et complmentaires selon les contextes : * Proposer des amliorations (par exemple, sur les logiciels, matriels, rseaux,.. mais aussi les mthodes de travail, les processus...) * Vrifier la conformit un point prcis ou un rfrentiel restreint et dfini souvent unilatralement (par exemple, audit des commissaires aux comptes en milieu informatis, audit d'un processus ITIL...) * Vrifier la conformit, rvler les non-conformits, Mesurer les carts de la mise en uvre d'un systme (par exemple, audit iso 20000-1, iso 27001...) * Mesurer l'efficacit, l'efficience ou la maturit (par exemple audit CMM,..) selon une chelle de maturit donne
SYNERTAL SARL au capital de 10 000
55, chemin du cros du pont F-13710 Fuveau

Siret Aix en provence 487 970 451 000 18

04 42 68 14 56 contact@synertal.fr www.synertal.fr 3/6

09 79 36 87 24

Audit pratique des SI-c est quoi_www.synertal.com_syn.doc version du 28/01/09 par Iacolare 28/01/09 Synertal - Diffusion-reproduction interdite

* Certifier au sens produit ou service (par exemple, certification Microsoft, certification SAP...) Quel que soit l'objectif de la mesure, l'audit "pratique" s'attachent rendre l'audit oprationnel, efficient (atteindre l'objectif en mobilisant les moyens les plus pertinents, dans la dure la plus limite possible) et utile tant pour l'audit que pour le commanditaire de l'audit.

METHODIQUE, POURQUOI ET COMMENT ? Pourquoi faut-il tre mthodique ?

- Pour tre efficient avant tout. * On n'a jamais assez de temps. Donc, viter d'en perdre. * Ne rien oublier. Donc, tout planifier (plan, programme....)

- Pour voir le maximum de thmes en un minimum de temps (L'audit est un chantillonnage. On ne voit pas tout. Il faut rationaliser son temps) * Faire un audit de 20, 30 ou 40 jours n'a pas de sens. Il est ncessaire de travailler en couche progressive, chantillonner, croiser.... pour assurer la couverture la plus complte possible en auditant le juste ncessaire (principe de Pareto, loi des 20-80) * Mobiliser les bons auditeurs sur les bons thmes, au bon moment, aux bons endroits * Croiser les sources d'information - Pour garantir la qualit des observations (croisement des sources d'information, notion de rebouclage et de cycle de vie Plan-Do-Check-Act, ...)

Comment tre mthodique ?

- Travailler sur les 4 niveaux d'analyse possible, de la vision stratgique jusqu'aux outils : * stratgie : d'abord connaitre la stratgie de l'entreprise... et de la DSI * process : identifier les process cls (planification, diffusion d'information, amlioration, mesure, prvention, pilotage...) * humain : bien dterminer le rle de chacun, les forces en prsence, les circuits de dcision, les responsabilits et autorits * technologies-outils-moyens : procdures, modes opratoires, applicatifs, logiciels de tests, de supervision.... infrastructures....

SYNERTAL SARL au capital de 10 000

55, chemin du cros du pont F-13710 Fuveau

Siret Aix en provence 487 970 451 000 18

04 42 68 14 56 contact@synertal.fr www.synertal.fr 4/6

09 79 36 87 24

Audit pratique des SI-c est quoi_www.synertal.com_syn.doc version du 28/01/09 par Iacolare 28/01/09 Synertal - Diffusion-reproduction interdite

- Planifier l'audit pour mobiliser les bons acteurs, aux bons endroits, sur les bons sujets, au bon moment. Pour cela mobiliser des auditeurs intervenant sur site pour tout ou partie des thmes, appuys par des experts consultables ponctuellement distance sur une thmatique prcise donne - Intgrer l'ensemble des objectifs (financier, technique, outils, stratgique, ...) et rfrentiels (iso 9001, Cobit, ...) pour en tenir compte lors d'un seul et mme audit. Pour ne pas juxtaposer des sries d'audits, chacun centr sur une thmatique donne

Indpendant, comment ?
En dfinissant clairement et prcisment la mission de l'audit (activit, sites, dure, charge, livrable, contraintes, pr-requis...) En mobilisant des auditeurs qui ne peuvent tre "juge" et "partie", c'est--dire indpendant du domaine audit. En sparant bien les intrts personnels de l'auditeur ( oublier pendant l'audit) des intrts de l'audit (objectifs du commanditaire satisfaire, obtention de l'adhsion des audits). L'auditeur ne ralise pas l'audit pour son besoin personnel, sa culture, son business... mais pour mener bien la mission qui lui est confie. En faisant suivre et coordonner le travail des auditeurs et les livrables par un tiers expriments, aguerri aux techniques d'audit, et digne de confiance.

Un rfrentiel. Lequel choisir ?

Pour un audit donn, une SEUL rfrentiel ou PLUSIEURS rfrentiels (dans le cas d'audits intgrs) peuvent tre utiliss. Selon le type d'audit, les rfrentiels sont de natures diverses : * Audit de systme > normes, standards, recueil de bonne pratique * Audit de processus ou Audit de procd > fiche process, fiches mthodes... * Audit de produit/ service > spcification technique / de services * Audit de procdure > procdure, mode opratoire ...

Un rfrentiel peut tre constitu sur mesure, par l'exprience, selon les spcificits de l'organisme... Par exemple, un rfrentiel d'audit de niveau global permettant d'apprhender le systme d'information d'un organisme aborde des thmes du type : primtre et contexte de l'audit, architecture du systme d'information, rseau et tlcom, Web et Internet, matriels (couvrant le primtre), caractristiques par type de matriel, logiciels par type de matriel (poste client, serveurs...), applications logicielles dveloppes ou du commerce ou libre, description fonctionnelle du besoin des
SYNERTAL SARL au capital de 10 000
55, chemin du cros du pont F-13710 Fuveau

Siret Aix en provence 487 970 451 000 18

04 42 68 14 56 contact@synertal.fr www.synertal.fr 5/6

09 79 36 87 24

Audit pratique des SI-c est quoi_www.synertal.com_syn.doc version du 28/01/09 par Iacolare 28/01/09 Synertal - Diffusion-reproduction interdite

applications logicielles, description de la solution technique retenue, critres de choix/ slection des matriels, logiciels, rseaux..., cots, scurit, organisation & responsabilits... Concernant les normes et standards en matire de systmes d'information, plusieurs rfrentiels existent. Ils s'appliquent des domaines distincts et sur des primtres divers : dveloppement logiciel, services de production informatique, gestion globale du systme d'information, scurit... Par exemple : * iso 9001 (cre en 1987). Norme de type systme (structure selon le cycle PlanDo-Check-Act). Dfinit des rgles standards respecter pour tout organisme souhaitant fournir ses produits et ses services de qualit. * iso 20000-1. Norme de type systme. Dfinit des rgles standards respecter pour tout organisme fournissant des services et souhaitant atteindre un excellent niveau de matrise de ses activits en vue de satisfaire ses clients. * iso 27001. Norme de type systme. Dfinit des rgles standards en matire de scurit (confidentialit, intgrit, disponibilit) des systmes d'information respecter pour tout organisme souhaitant en garantir la matrise dans la ralisation de ses activits en rponse ses propres exigences internes ou celles de ses clients. * Cobit, Control Objectives for information and Related technologies (dvelopp en 1996) permet de matriser les risques attachs aux systmes d'information & de contrler les investissements. * CMMi, Capability Maturity Model Integrated. Ensemble de bonnes pratiques permettant d'valuer le degr de maturit d'un organisme ou d'un service. * ITIL, IT Infrastructure Library (20 ans d'existence et d'exprience), rfrentiel de bonnes pratiques de la Gestion des Services Informatiques, * Six Sigma est une discipline d'analyse base sur des faits vrifiables statistiquement pour amliorer les processus cls de l'organisme (processus d'amlioration orient client).

WWW.SYNERTAL.COM

NOTRE

VALEUR AJOUTEE, CEST NOTRE PERFORMANCE

SYNERTAL SARL au capital de 10 000

55, chemin du cros du pont F-13710 Fuveau

Siret Aix en provence 487 970 451 000 18

04 42 68 14 56 contact@synertal.fr www.synertal.fr 6/6

09 79 36 87 24

Audit pratique des SI-c est quoi_www.synertal.com_syn.doc version du 28/01/09 par Iacolare 28/01/09 Synertal - Diffusion-reproduction interdite